审计渗透测试方法、测试节点服务器、管理服务器及系统技术方案

本发明专利技术涉及一种审计渗透测试方法、测试节点服务器、管理服务器及系统。应用于测试节点服务器的方法包括：接收测试者向预设的虚拟域名发出的测试请求；根据测试请求对测试者进行身份及合规性验证；若验证通过，发送测试请求至虚拟域名对应的真实的受测目标并接收受测目标的测试反馈信息；对测试反馈信息进行脱敏隐藏变形处理，得到变形后测试反馈信息；发送变形后测试反馈信息至测试者。上述方法中通过生成虚拟域名，并对反馈信息进行脱敏隐藏处理，在不干扰测试的情况下实现了避免信息泄漏及隐藏受测目标的效果。

【技术实现步骤摘要】
审计渗透测试方法、测试节点服务器、管理服务器及系统
本专利技术涉及软件渗透测试
，具体涉及一种审计渗透测试方法、测试节点服务器、管理服务器及系统。
技术介绍
众测与渗透测试是企业对网站进行风险评估及发现网站漏洞的常用方式，通过专业人员以黑客的方式进行模拟攻击来执行。出于专业性考虑，需求方通常会通过购买专职信息安全公司的服务进行测试。由于此类测试通常会涉及到敏感信息，包括公司秘密、客户隐私以及对系统可用性与完整性造成的潜在影响，需求方对测试会产生多种方面顾虑。因此对网站进行众测或渗透测试过程中受测方需要对测试过程进行监管。现有测试方案为虚拟专用网络(VPN)方案，所有测试人员通过由测试组织方提供的VPN进入测试环境中，通过对VPN数据包的记录实现对测试过程的监管。现有方法中通过VPN受测目标时，测试者访问与接收的内容均为原始目标，因此无法阻止测试者获取受测方的敏感数据，也就无法隐藏受测目标身份，且若受测方因某些原因想要阻止测试者测试时，只能通过阻止访问干预测试人员。
技术实现思路
有鉴于此，本专利技术的目的在于克本文档来自技高网...

【技术保护点】
1.一种审计渗透测试方法，其特征在于，应用于测试节点服务器，所述方法包括：/n接收测试者向预设的虚拟域名发出的测试请求；/n根据所述测试请求对所述测试者进行身份及合规性验证；/n若验证通过，发送所述测试请求至所述虚拟域名对应的真实的受测目标并接收所述受测目标的测试反馈信息；/n对所述测试反馈信息进行脱敏隐藏变形处理，得到变形后测试反馈信息；/n发送所述变形后测试反馈信息至所述测试者。/n

【技术特征摘要】
1.一种审计渗透测试方法，其特征在于，应用于测试节点服务器，所述方法包括：
接收测试者向预设的虚拟域名发出的测试请求；
根据所述测试请求对所述测试者进行身份及合规性验证；
若验证通过，发送所述测试请求至所述虚拟域名对应的真实的受测目标并接收所述受测目标的测试反馈信息；
对所述测试反馈信息进行脱敏隐藏变形处理，得到变形后测试反馈信息；
发送所述变形后测试反馈信息至所述测试者。


2.根据权利要求1所述的方法，其特征在于，所述根据所述测试请求对所述测试者进行身份及合规性验证，包括：
对所述测试请求进行解析，得到测试者身份信息、受测目标、请求频率和测试提交内容；
根据预设的权限规则判断所述测试者身份信息是否有权访问所述受测目标；
若有权访问所述受测目标，根据预设的合规规则对所述请求频率和所述测试提交内容进行合规性检测。


3.根据权利要求1所述的方法，其特征在于，所述对所述测试反馈信息进行脱敏隐藏变形处理，得到变形后测试反馈信息，包括：
根据预设敏感标准判断所述测试反馈信息是否包含敏感信息；
若所述测试反馈信息包含敏感信息，利用预设的脱敏规则对所述测试反馈信息进行脱敏处理，得到脱敏后反馈信息；
利用预设的信息隐藏规则对所述脱敏后反馈信息进行数据隐藏处理，得到所述变形后测试反馈信息。


4.根据权利要求1所述的方法，其特征在于，还包括：
根据所述测试请求生成日志；
根据预设标记规则对所述日志设置标签及请求属性；
发送带有标签及属性的所述日志至数据整理服务器进行存储。


5.一种审计渗透测试方法，其特征在于，应用于管理服务器，所述方法包括：
接收管理员的操作指令，根据所...

【专利技术属性】
技术研发人员：尚侠，毛志霆，罗清篮，张雪松，陈宁，
申请(专利权)人：上海谋乐网络科技有限公司，
类型：发明
国别省市：上海;31