信息收集是滲透測試過程中不可或缺的一步,信息收集的方式可分為主動和被動,為了提高滲透測試人員在進行被動信息收集時的效率,本文開發(fā)了基于被動信息收集的Web安全評估系統(tǒng)。系統(tǒng)采用Python開發(fā),利用Scrapy爬蟲框架對第三方被動信息收集網(wǎng)站進行數(shù)據(jù)爬取與整合,系統(tǒng)實現(xiàn)功能有對目標進行備案、Whois、子域名、子域名IP、子域名CMS、子域名Shodan、子域名漏洞信息的查詢。在對目標進行上述7個方面的信息收集時,相較于傳統(tǒng)方式此系統(tǒng)可幫助滲透測試人員在時間上提高近6倍的效率。 

【文章來源】：科技視界. 2020,(17)

【文章頁數(shù)】：4 頁

【部分圖文】：

系統(tǒng)結(jié)構(gòu)設計

為了測試本系統(tǒng)的被動信息收集工具性能，將通過分析使用傳統(tǒng)的被動信息收集方式與使用本文所開發(fā)的被動信息收集工具的方式所消耗的時間及硬件資源進行對比。傳統(tǒng)的被動信息收集方式即是指通過瀏覽器訪問第三方網(wǎng)站，繼而在第三方網(wǎng)站上獲取目標信息的方式。在被動信息收集結(jié)果一致、性能分析測試環(huán)境一致的情況下，對使用傳統(tǒng)的被動信息收集方式與使用本文所開發(fā)的被動信息收集工具的方式進行性能分析測試，測試結(jié)果如表1及表2所示。圖3 使用本工具相對于傳統(tǒng)方法的性能節(jié)省倍數(shù)統(tǒng)計圖

使用本工具相對于傳統(tǒng)方法的性能節(jié)省倍數(shù)統(tǒng)計圖

【參考文獻】：
期刊論文
[1]中國特色治網(wǎng)之道:理念與成就——十八大以來我國網(wǎng)絡空間治理的回顧與思考[J]. 張?zhí)N昭.  中國行政管理. 2019(01)
[2]淺析我國網(wǎng)絡安全現(xiàn)狀以及未來技術發(fā)展趨勢[J]. 洪藝強.  電腦迷. 2018(12)
[3]以法制保障網(wǎng)絡空間安全構(gòu)筑網(wǎng)絡強國——《網(wǎng)絡安全法》和《國家網(wǎng)絡空間安全戰(zhàn)略》解讀[J]. 鄧若伊,余夢瓏,丁藝,董天策,何哲,黃璜,劉鵬飛,劉宇軒,巢乃鵬,馬亮,孫宇,王國華,謝曉專,曾潤喜,陳燕超,張會平,張效羽.  電子政務. 2017(02)
[4]網(wǎng)絡空間安全人才培養(yǎng)的規(guī)劃建議[J]. 張宏莉,于海寧,翟健宏,余翔湛.  網(wǎng)絡與信息安全學報. 2016(03)
[5]Web滲透測試流程研究[J]. 宋超臣,王希忠,黃俊強,吳瓊.  電子設計工程. 2014(17)
[6]網(wǎng)絡安全滲透測試研究[J]. 常艷,王冠.  信息網(wǎng)絡安全. 2012(11)
[7]被動網(wǎng)絡信息收集與分析技術研究[J]. 劉炎,羅軍勇,白曉絡.  計算機應用研究. 2007(02)



本文編號：3397726