测运控平台的自动化渗透测试系统及方法与流程

技术特征：
1.一种测运控平台的自动化渗透测试系统，其特征在于，包括：硬件支撑层、数据运行环境支撑层、任务支撑层和应用软件层；其中，所述硬件支撑层用于提供硬件支撑；所述数据运行环境支撑层用于存储业务数据；所述任务支撑层用于根据输入的攻击目标的特征信息，以及所述业务数据，进行测试任务的调度，所述测试任务包括漏洞测试任务和攻击测试任务；所述应用软件层用于根据测试任务的调度结果，对测运控平台进行测试，获得测试结果。2.根据权利要求1所述的系统，其特征在于，所述业务数据包括测运控平台数据、漏洞数据、测运控平台规则数据。3.根据权利要求2所述的系统，其特征在于，所述任务支撑层进一步用于：根据测运控平台数据，确定攻击目标集合；接收与所述攻击目标集合对应的攻击目标的特征信息；对漏洞数据和所述特征信息进行匹配，确定目标漏洞；生成针对目标漏洞的漏洞测试任务。4.根据权利要求3所述的系统，其特征在于，漏洞测试任务的测试结果包括是否存在漏洞及漏洞类型和位置；所述应用软件层进一步用于：根据所述针对目标漏洞的漏洞测试任务，对所述目标漏洞进行补充反射型xss注入，存储类xss注入以及dom型xss注入，确定所述测运控平台是否存在xss注入漏洞以及在存在xss注入漏洞的情况下，确定xss注入漏洞的类型和位置。5.根据权利要求2所述的系统，其特征在于，所述任务支撑层进一步用于：根据漏洞测试任务的测试结果，以及所述测运控平台规则数据，确定攻击策略；根据攻击策略，生成针对所述漏洞测试任务的测试结果的攻击测试任务。6.根据权利要求5所述的系统，其特征在于，所述漏洞测试任务的测试结果包括是否存在漏洞及漏洞类型和位置；所述应用软件层进一步用于：根据所述攻击测试任务，对所述漏洞的位置进行攻击，获得攻击测试任务的测试结果。7.根据权利要求1所述的系统，其特征在于，所述任务支撑层通过clouds消息中间件进行测试任务的调度，通过scm服务监控与管理组件进行测试任务管理，通过dccp并行处理组件进行漏洞匹配和生成攻击策略，通过factory进行测试流程安排。8.根据权利要求1所述的系统，其特征在于，所述数据运行环境支撑层包括mysql关系数据库、cnnvd或cve的漏洞数据库、cfs文件库。9.根据权利要求1所述的系统，其特征在于，所述应用软件层包括stk显示工具，用于显示所述测运控平台的测试结果；以及b/s应用软件工具，用于执行所述测试任务。10.一种测运控平台的自动化渗透测试方法，其特征在于，包括：根据测运控平台数据，确定攻击目标集合；接收与所述攻击目标集合对应的攻击目标的特征信息；
对漏洞数据和所述特征信息进行匹配，确定目标漏洞；生成针对目标漏洞的漏洞测试任务；确定针对目标漏洞的漏洞测试任务的测试结果，所述漏洞测试任务的测试结果包括是否存在漏洞及漏洞类型和位置；根据漏洞测试任务的测试结果，以及测运控平台规则数据，确定攻击策略；根据攻击策略，生成针对所述漏洞测试任务的测试结果的攻击测试任务；确定攻击测试任务的测试结果。

技术总结
本公开提供一种测运控平台的自动化渗透测试系统及方法。所述系统包括：硬件支撑层、数据运行环境支撑层、任务支撑层和应用软件层；硬件支撑层用于提供硬件支撑；数据运行环境支撑层用于存储业务数据；任务支撑层用于根据输入的攻击目标的特征信息，以及所述业务数据，进行测试任务的调度；应用软件层用于根据测试任务的调度结果，对测运控平台进行测试，获得测试结果。根据本公开，可并行加载多种测试任务，且不断调整攻击策略，从而测试各种漏洞及防御机制且降低了人工成本，减少了重复操作，提升了测试的覆盖面，提升了测运控平台的安全性。性。性。


技术研发人员：王柳一 赵磊 董玮 朱太平
受保护的技术使用者：北京航天驭星科技有限公司
技术研发日：2022.08.19
技术公布日：2022/11/8