(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211340129.8 (22)申请日 2022.10.27 (71)申请人 成都泰瑞通信设备检测有限公司 地址 610093 四川省成 都市成都高新区科 园三路4号1栋1层1号 (72)发明人 王霈　曾宏威　修建刚　陆再鸿　 (74)专利代理 机构 北京盛凡佳华专利代理事务 所(普通合伙) 11947 专利代理师 王艳 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络安全渗透测试方法及系统 (57)摘要 本发明涉及系统测试技术领域， 且公开了一 种网络安全渗透测试方法及系统， 所述渗透测试 系统包括审核模块、 收集模块、 处理模块、 一次探 测模块、 验证模块、 二次探测模块、 清理模块和结 果分析模块， 本发明通过审核模块清楚了解和掌 握客户对渗透测试的需求， 便于测试人员掌握渗 透测试的程度， 便于向客户提供精 准且高效率的 测试， 且通过一次验证模块和二次验证模块分别 对一次探测模块和二次探测模块探测的漏洞进 行验证， 保证一次探测模块和二次探测模块探测 的真实性， 并便于向探测不是漏洞进行再次探测 并验证， 避免探测出现差错， 通过清理模块对渗 透测试过程中的进行全面清除， 避免因此影响渗 透测试完成后的系统的使用效果。 权利要求书2页 说明书5页 附图1页 CN 115550057 A 2022.12.30 CN 115550057 A 1.一种网络安全渗透测试 方法， 其特 征在于， 包括以下主 要步骤： S1： 对需要进行渗透测试的系 统进行基础信息、 系统信息、 应用信息、 版本信息和人员 信息等相关信息进行收集； S2： 对收集模块收集的信息进行处 理， 并结合测试 人员制定的测试 方案进行 具体实施； S3： 对被测试系统的系统漏洞、 服 务器漏洞、 应用漏洞和其它漏洞等进行一次探测； S4： 利用一次探测探测到的漏洞对被渗透测试的系统进行攻击， 验证一次探测得出的 漏洞的真实性； S5： 提高测试人员的相 关权限， 对被测试的系 统的系统漏洞、 服务器漏洞、 应用 漏洞和 其它漏洞等进行二次探测； S6： 利用二次探测探测到的漏洞对被渗透测试的系统进行攻击， 验证二次探测得出的 漏洞的真实性； S7： 对渗透测试 过程中操作的、 植入的程序、 添加的测试 账号和测试文件等进行清除； S8： 对渗透测试 得出的结果进行分析， 并编写渗透测试报告。 2.根据权利要求1所述的一种网络安全渗透测试方法， 其特征在于， 还包括确定客户渗 透测试需求， 并结合测试人员的测试方法预判测试的可行性， 若测试方法可行， 则通过上述 步骤S1进行后续实施， 若测试方法不可行， 则重新与客户协商， 并重新制定测试方法， 且对 重新制定的方法进行 再次预判。 3.根据权利要求1所述的一种网络安全渗透测试方法， 其特征在于， 所述上述步骤S4和 步骤S6中若对一次探测和二次探测的结果出现不是漏洞的状况， 则将一次探测和二次探测 到的不是漏洞直接生成测试报告， 进行 再次验证。 4.一种网络安全渗透测试系统， 其特征在于， 包括渗透测试系统， 所述渗透测试系统包 括审核模块、 收集模块、 处理模块、 一次探测模块、 验证模块、 二次探测模块、 清理模块和结 果分析模块， 审核模块的输出端与收集模块的输入端连接， 收集模块的输出端与 处理模块 的输入端连接， 处理模块的输出端与一次探测模块的输入端连接， 一次探测模块的输出端 与一次验证模块的输入端连接， 一次验证模块的输出端与二次探测模块的输入端连接， 二 次探测模块的输出端与二次验证模块的输入端连接， 二次验证模块的输出端与 清理模块的 输入端连接， 清理模块的输出端与结果分析模块的输入端连接 。 5.根据权利要求4所述的一种网络安全渗透测试系统， 其特征在于： 所述审核模块用于 收集客户对渗透测试 的需求， 并使测试人员结合客户需求作出测试方法， 且由审核人员对 测试方法的可 行性进行 预判， 对测试 方法进行进一 步的优化和完 善。 6.根据权利要求4所述的一种网络安全渗透测试系统， 其特征在于： 所述收集模块用于 对需要进行渗透测试的系统进行服务信息、 基础信息、 系统信息、 应用信息、 版本信息和人 员信息等相关信息进行收集， 保证测试人员和审核人员对被渗透测试的系统进行充分掌 握， 采集工具为浏览器插 件、 相关终端命令和在线工具等。 7.根据权利要求4所述的一种网络安全渗透测试系统， 其特征在于： 所述二 次探测模块 在一次探测模块的基础上进行深层次的漏洞探测， 所述一次验证模块和二次验证模块分别 对一次探测模块的探测结果和二次探测模块的探测结果进 行验证， 二次验证模块在一次验 证模块的基础上进行深层次的结果验证。 8.根据权利要求7所述的一种网络安全渗透测试系统， 其特征在于： 所述一 次验证模块权　利　要　求　书 1/2 页 2 CN 115550057 A 2和二次验证模块验证的漏洞结果和 不是漏洞结果及一次探测模块探测的漏洞和 二次探测 模块探测的漏洞均进行 单独存储， 为后续清理模块和结果分析模块的实施奠下基础。 9.根据权利要求4所述的一种网络安全渗透测试系统， 其特征在于： 所述结果分析模块 用于对渗透测试 的过程和得出 的结果进行分析并总 结， 且编写渗透测试报告， 将由测试得 出的结果清楚向客户呈现， 解释测试 结果的利害关系， 由客户决定渗透测试的修复程度。权　利　要　求　书 2/2 页 3 CN 115550057 A 3