[發(fā)明專利]審計(jì)滲透測試方法、測試節(jié)點(diǎn)服務(wù)器、管理服務(wù)器及系統(tǒng)有效
| 申請?zhí)枺?/td> | 202010936190.3 | 申請日: | 2020-09-08 |
| 公開(公告)號: | CN112118241B | 公開(公告)日: | 2022-11-01 |
| 發(fā)明(設(shè)計(jì))人: | 尚俠;毛志霆;羅清籃;張雪松;陳寧 | 申請(專利權(quán))人: | 上海謀樂網(wǎng)絡(luò)科技有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L67/02;H04L61/4511;G06F21/62 |
| 代理公司: | 北京細(xì)軟智谷知識產(chǎn)權(quán)代理有限責(zé)任公司 11471 | 代理人: | 尚文文 |
| 地址: | 200050 上海市長*** | 國省代碼: | 上海;31 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 審計(jì) 滲透 測試 方法 節(jié)點(diǎn) 服務(wù)器 管理 系統(tǒng) | ||
本發(fā)明涉及一種審計(jì)滲透測試方法、測試節(jié)點(diǎn)服務(wù)器、管理服務(wù)器及系統(tǒng)。應(yīng)用于測試節(jié)點(diǎn)服務(wù)器的方法包括:接收測試者向預(yù)設(shè)的虛擬域名發(fā)出的測試請求;根據(jù)測試請求對測試者進(jìn)行身份及合規(guī)性驗(yàn)證;若驗(yàn)證通過,發(fā)送測試請求至虛擬域名對應(yīng)的真實(shí)的受測目標(biāo)并接收受測目標(biāo)的測試反饋信息;對測試反饋信息進(jìn)行脫敏隱藏變形處理,得到變形后測試反饋信息;發(fā)送變形后測試反饋信息至測試者。上述方法中通過生成虛擬域名,并對反饋信息進(jìn)行脫敏隱藏處理,在不干擾測試的情況下實(shí)現(xiàn)了避免信息泄漏及隱藏受測目標(biāo)的效果。
技術(shù)領(lǐng)域
本發(fā)明涉及軟件滲透測試技術(shù)領(lǐng)域,具體涉及一種審計(jì)滲透測試方法、測試節(jié)點(diǎn)服務(wù)器、管理服務(wù)器及系統(tǒng)。
背景技術(shù)
眾測與滲透測試是企業(yè)對網(wǎng)站進(jìn)行風(fēng)險(xiǎn)評估及發(fā)現(xiàn)網(wǎng)站漏洞的常用方式,通過專業(yè)人員以黑客的方式進(jìn)行模擬攻擊來執(zhí)行。出于專業(yè)性考慮,需求方通常會通過購買專職信息安全公司的服務(wù)進(jìn)行測試。由于此類測試通常會涉及到敏感信息,包括公司秘密、客戶隱私以及對系統(tǒng)可用性與完整性造成的潛在影響,需求方對測試會產(chǎn)生多種方面顧慮。因此對網(wǎng)站進(jìn)行眾測或滲透測試過程中受測方需要對測試過程進(jìn)行監(jiān)管。現(xiàn)有測試方案為虛擬專用網(wǎng)絡(luò)(VPN)方案,所有測試人員通過由測試組織方提供的VPN進(jìn)入測試環(huán)境中,通過對VPN數(shù)據(jù)包的記錄實(shí)現(xiàn)對測試過程的監(jiān)管。
現(xiàn)有方法中通過VPN受測目標(biāo)時,測試者訪問與接收的內(nèi)容均為原始目標(biāo),因此無法阻止測試者獲取受測方的敏感數(shù)據(jù),也就無法隱藏受測目標(biāo)身份,且若受測方因某些原因想要阻止測試者測試時,只能通過阻止訪問干預(yù)測試人員。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種審計(jì)滲透測試方法、測試節(jié)點(diǎn)服務(wù)器、管理服務(wù)器及系統(tǒng)。
為實(shí)現(xiàn)以上目的,本發(fā)明采用如下技術(shù)方案:
一種審計(jì)滲透測試方法,應(yīng)用于測試節(jié)點(diǎn)服務(wù)器,所述方法包括:
接收測試者向預(yù)設(shè)的虛擬域名發(fā)出的測試請求;
根據(jù)所述測試請求對所述測試者進(jìn)行身份及合規(guī)性驗(yàn)證;
若驗(yàn)證通過,發(fā)送所述測試請求至所述虛擬域名對應(yīng)的真實(shí)的受測目標(biāo)并接收所述受測目標(biāo)的測試反饋信息;
對所述測試反饋信息進(jìn)行脫敏隱藏變形處理,得到變形后測試反饋信息;
發(fā)送所述變形后測試反饋信息至所述測試者。
可選的,所述根據(jù)所述測試請求對所述測試者進(jìn)行身份及合規(guī)性驗(yàn)證,包括:
對所述測試請求進(jìn)行解析,得到測試者身份信息、受測目標(biāo)、請求頻率和測試提交內(nèi)容;
根據(jù)預(yù)設(shè)的權(quán)限規(guī)則判斷所述測試者身份信息是否有權(quán)訪問所述受測目標(biāo);
若有權(quán)訪問所述受測目標(biāo),根據(jù)預(yù)設(shè)的合規(guī)規(guī)則對所述請求頻率和所述測試提交內(nèi)容進(jìn)行合規(guī)性檢測。
可選的,所述對所述測試反饋信息進(jìn)行脫敏隱藏變形處理,得到變形后測試反饋信息,包括:
根據(jù)預(yù)設(shè)敏感標(biāo)準(zhǔn)判斷所述測試反饋信息是否包含敏感信息;
若所述測試反饋信息包含敏感信息,利用預(yù)設(shè)的脫敏規(guī)則對所述測試反饋信息進(jìn)行脫敏處理,得到脫敏后反饋信息;
利用預(yù)設(shè)的信息隱藏規(guī)則對所述脫敏后反饋信息進(jìn)行數(shù)據(jù)隱藏處理,得到所述變形后測試反饋信息。
可選的,還包括:
根據(jù)所述測試請求生成日志;
根據(jù)預(yù)設(shè)標(biāo)記規(guī)則對所述日志設(shè)置標(biāo)簽及請求屬性;
發(fā)送帶有標(biāo)簽及屬性的所述日志至數(shù)據(jù)整理服務(wù)器進(jìn)行存儲。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于上海謀樂網(wǎng)絡(luò)科技有限公司,未經(jīng)上海謀樂網(wǎng)絡(luò)科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010936190.3/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
