基于Metasploit框架自动化渗透测试研究

摘要

文章概述了渗透测试类型和框架,并对其相关的方法论进行研究,对比分析信息安全测试技术指导方针(NIST SP800-115)、信息系统安全评估框架(ISSAF)、开源安全测试方法手册(OSSTM)和渗透测试执行标准(PTES)中提出的不同渗透测试模型和方法,结合渗透测试框架Metasploit所具有漏洞攻击模块等相关组件,提出了一种由五个阶段组成的渗透测试模型,采用Ruby编程语言加以实现.通过对比实验,所开发的自动化渗透测试系统从漏洞检测率、成功率等方面都表现出明显的优势.该系统的成功利用将有效降低网络攻击风险.