[发明专利]一种基于信息收集的Web安全漏洞检测系统及检测方法

摘要

本发明是一种基于信息收集的Web安全漏洞检测系统及检测方法，系统包括项目管理模块，信息收集模块，扫描探测模块，漏洞利用模块、辅助工具模块、Web综合渗透模块以及自定义功能模块，本发明将各扫描工具形成一个完整的渗透体系，并且渗透测试工具模块化分类，让渗透测试流程一目了然，系统的各个工具可以自由切换，相互协作，扫描探测出目标的网站服务相关信息后，精准定位验证漏洞，避免像传统扫描器扫描时模糊化大量FUZZ测试，影响目标业务正常运行，并且本系统扫描收集信息的方面广，扫描更彻底。

主权项

一种基于信息收集的Web安全漏洞检测系统，其特征在于，包括项目管理模块，信息收集模块，扫描探测模块，漏洞利用模块、辅助工具模块、Web综合渗透模块以及自定义功能模块，所述信息收集模块集成有Whois信息获取、二级域名获取和目标邮箱信息收集三款工具。Whois信息获取可以查询并提取关键注册人信息，并查询同一注册人的其他域名，域名对应的NS记录、MX记录，从而进一步扩大渗透思路；二级域名获取工具设有搜索引擎式、暴力破解式和接口模式三种查询方式；目标邮箱信息收集工具收集暴露在公网的目标企业邮箱地址，得到该邮箱地址后可以对指定用户进行社会工程学攻击；所述扫描探测模块包括Web指纹识别工具、端口扫描探测工具、端口指纹识别工具、Web路径扫描工具、旁注扫描工具、Web服务扫描工具，Web指纹识别可以接收信息收集步骤传过来的IP段和域名后会自动进行识别探测；端口扫描探测工具对目标IP段的所有IP进行开放端口扫描并识别Banner信息；Web路径扫描工具加载字典对网站进行路径信息探测，获取是否有敏感信息泄露；旁注扫描工具对特定IP和指定C段地址进行扫描，探测同一服务器上是否有运行其他网站，从而进一步扩大渗透思路；Web服务扫描工具扫描指定目标的指定端口，如果是Web服务，获取其url、状态、标题等信息；所述漏洞利用模块进行漏洞利用，漏洞利用包括：Zabbix漏洞利用、Joomla漏洞利用、Jetspeed漏洞利用、DockerApi利用、Java反序列化、Rsync漏洞利用、Axis2漏洞利用、Git信息泄露、GlassFish、Resin、TRS漏洞、Struts2漏洞、DedeCMS漏洞、WordPress漏洞、Discuz漏洞、FckEditor漏洞、Tomacat6.0漏洞、Lumanager漏洞利用、IIS写权限漏洞、HFS命令执行、PMA猜解、JBoss漏洞利用、Bash漏洞利用、HeartBleed检测和密码综合破解；所述辅助工具模块包括编码转换工具和Md5查询工具，编码转换工具提供传统编码转换，Md5查询工具提供Md5值本地和在线查询。