[发明专利]一种基于众测平台的安全漏洞自动化验证系统

摘要

本发明公开了一种基于众测平台的安全漏洞自动化验证系统，系统执行如下步骤：步骤1，进行验证信息收集；步骤2，实施验证信息封装：将安全漏洞自动化验证系统收集到的各种漏洞详情按所属类型分类处理，对每一个类型的漏洞，提取脆弱性探测结果中漏洞的关键信息，以关键信息为提交漏洞的必要字段数据，按字段收集需要的数据，将数据进行统一接口的模块化封装；步骤3，寻找验证策略，依据可疑的漏洞标识和种类信息，选取合适的攻击脚本模板和漏洞利用工具；步骤4，进行自动化漏洞验证；步骤5，清除验证痕迹；步骤6，生成扫描报告。

主权项

1.一种基于众测平台的安全漏洞自动化验证系统，其特征在于，包括客户端、控制端和验证端；所述客户端包括了前、后台用户登录模块，任务配置模块，任务提交模块，结果显示模块和数据传输模块A；参加众测任务的用户通过前台用户登录模块登录系统，并进行漏洞任务提交；后台用户登录模块是提供给系统管理员的系统入口，用于进行漏洞任务发布、漏洞信息审核验证操作；所述任务配置模块负责将众测人员提交的漏洞样本以及漏洞样本对应的信息进行配置，管理员通过任务配置模块，对授权并指定的计算机系统或指定资产、URL地址发布众测任务，推送给前台用户；同时任务配置模块还负责设置漏洞提交需要的必要字段，按字段收集漏洞情报，配置成规范化的漏洞样本；所述任务提交模块负责将用户人工渗透测试挖掘到的漏洞上传，用户需根据任务配置模块设置的信息填写漏洞所需的所有信息，并上传到数据库，等待数据封装和漏洞自动化验证；所述结果显示模块负责将漏洞样本验证的进度和结果进行回显；所述数据传输模块A负责将用户的任务信息和漏洞样本信息传输到控制端；所述控制端包括漏洞信息封装模块、控制模块和数据库模块；所述控制模块完成漏洞样本的中转过程中与客户端和验证端的控制信息交互和样本验证状态的查询和回传；所述漏洞信息封装模块负责将接收的漏洞样本进行模块化封装，并向验证端分发，分发的工作包括：判断接收的漏洞样本是否已有历史验证记录，是否已在验证端自动化验证过，如果验证过，直接向数据传输模块A返回信息，该漏洞为重复漏洞，已有用户提交过，如果未验证过，则解析漏洞样本对应的任务信息，根据解析的结果，对漏洞样本进行模块化封装，将漏洞样本封装信息传输至验证端；所述数据库模块负责处理漏洞样本的漏洞编号、任务名称、提交用户、漏洞命名、漏洞类型、漏洞URL、漏洞级别和漏洞详细描述信息的入库、查询和删除请求；所述验证端包括数据传输模块B、虚拟执行模块、验证判定模块和结果回执模块；所述数据传输模块B用于完成验证端与控制端的数据交互，传输构造的验证地址和对应漏洞样本信息提取的攻击工具与验证脚本；所述虚拟执行模块负责自动化的运行漏洞利用脚本，验证判定漏洞是否存在，并对漏洞影响进行验证；所述验证判定模块负责根据虚拟执行模块的反馈结果，反馈结果分为漏洞利用成功或者漏洞利用失败，并对利用成功的漏洞判定漏洞级别是否与用户提交的样本相符，最终给出此次自动化验证结果；所述结果回执模块负责制定规范的报告信息，并将报告序列化，提供给数据传输模块B进行回传。