文献类型：期刊文章

作　　者：严俊龙[1,2]

机构地区：[1]广州信息技术研究所,广东广州510075 [2]广州市盛通建设工程质量检测有限公司,广东广州510075

出　　处：《信息网络安全》

基　　金：广东省科技计划项目[2010A032000002];暨南大学科研培育与创新基金青年基金[11612333]

年　　份：2013

期　　号：2

起止页码：53-56

语　　种：中文

收录情况：JST、RCCSE、ZGKJHX、普通刊

摘　　要：文章概述了渗透测试类型和框架,并对其相关的方法论进行研究,对比分析信息安全测试技术指导方针(NIST SP800-115)、信息系统安全评估框架(ISSAF)、开源安全测试方法手册(OSSTM)和渗透测试执行标准(PTES)中提出的不同渗透测试模型和方法,结合渗透测试框架Metasploit所具有漏洞攻击模块等相关组件,提出了一种由五个阶段组成的渗透测试模型,采用Ruby编程语言加以实现。通过对比实验,所开发的自动化渗透测试系统从漏洞检测率、成功率等方面都表现出明显的优势。该系统的成功利用将有效降低网络攻击风险。

关 键 词：渗透测试  Metasploit框架  网络安全 网络攻击

分 类 号：TP393.08]