渗透测试是通过模拟攻击来对网络系统安全进行评估的方法,通过渗透测试能有效的减少网络安全事件的发生。信息收集是渗透测试过程中非常重要的步骤,信息收集的质量对渗透测试工作有着重大影响。对于渗透测试人员,在信息收集阶段需要对数据进行完整的记录,针对信息收集的数据进行分析。信息收集的数据中大部分的数据都是网络系统的组件信息,网络系统的组件组成复杂,组件存在的已知漏洞诸多,渗透测试人员需要借助搜索引擎进行组件已知漏洞的文献查找,对有用的文献进行使用记录。
由于已知的漏洞种类繁多,而未知的漏洞随着互联网的发展也在不断增加,在渗透测试人员工作中,信息收集网络系统的组件,分析组件存在的已知漏洞,组件已知漏洞的文献查找,测试网络系统是否存在已知漏洞需要的渗透测试工具引用,都影响着渗透测试人员的工作效率。
2.本人对课题任务书提出的任务要求及实现预期目标的可行性分析
本系统的目标主要能够辅助渗透测试人员在渗透测试过程中进行数据录入,数据分析,已知漏洞文献查询,渗透测试工具引用。
(一)技术可行性:
渗透测试辅助平台采用B/S架构,基于php语言进行开发,php语言是一门开源语言,php开发的程序可以不经修改运行在windows、linux、unix等多个操作系统上可以跨平台使用,采用MySQL数据库技术进行数据存储,这些技术都是当前成熟且主流的技术。所以技术上是可行的。
(二)经济可行性:
渗透测试辅助平台使用php语言、MySQL数据库进行开发,都是开源技术,使用VScode作为开发工具,VScode是一款免费的开发工具,该系统在软硬件的运行环境要求不高,在经济上是可行的。
3.本课题需要重点研究的、关键的问题及解决的思路
渗透测试辅助平台的设计与实现采用基于B/S开发模式。首先分析该系统具有的功能,结合本设计要求写出需求分析;其次,综合运用以前所学的相关知识,选择所熟悉的开发工具进行本设计的开发。以需求分析为基础,写出系统开发计划;最后,在系统设计完毕后,调试和运行并做好相关记录。
关键的问题:
用户录入信息收集存储的数据,系统需要分析数据中的内容,提供用户文献库中存在的对应漏洞文献。
解决的思路:
在用户录入文献时,针对文献设置标签,标签内容为文献中漏洞对应的组件,在系统分析数据时,将数据与标签进行匹配,向用户提供需要的文献。
4.完成本课题所必须的工作条件(如工具书、实验设备或实验环境条件、某类市场调研、计算机辅助设计条件等等)及解决的办法
实验设备或实验环境条件:
[1] 实验环境如Win10操作系统的电脑Vmware 虚拟机软件等。
[2] 安装有所需软件VScode和phpstudy的计算机。
[3] 各类网站搭建设计的编程语言为主,如:python、php、html、javascript等。
[4] 各类网站搭建设计的相关技术,如:wamp、apache、mysql等。
[5] 各类网站安全测试工具,如:awvs、nmap、burpsuite等。
[6] 相关资料,图书馆和互联网。