本發明涉及一種審計滲透測試方法、測試節點服務器、管理服務器及系統。應用于測試節點服務器的方法包括：接收測試者向預設的虛擬域名發出的測試請求；根據測試請求對測試者進行身份及合規性驗證；若驗證通過，發送測試請求至虛擬域名對應的真實的受測目標并接收受測目標的測試反饋信息；對測試反饋信息進行脫敏隱藏變形處理，得到變形后測試反饋信息；發送變形后測試反饋信息至測試者。上述方法中通過生成虛擬域名，并對反饋信息進行脫敏隱藏處理，在不干擾測試的情況下實現了避免信息泄漏及隱藏受測目標的效果。

技術領域

本發明涉及軟件滲透測試技術領域，具體涉及一種審計滲透測試方法、測試節點服務器、管理服務器及系統。

背景技術

眾測與滲透測試是企業對網站進行風險評估及發現網站漏洞的常用方式，通過專業人員以黑客的方式進行模擬攻擊來執行。出于專業性考慮，需求方通常會通過購買專職信息安全公司的服務進行測試。由于此類測試通常會涉及到敏感信息，包括公司秘密、客戶隱私以及對系統可用性與完整性造成的潛在影響，需求方對測試會產生多種方面顧慮。因此對網站進行眾測或滲透測試過程中受測方需要對測試過程進行監管。現有測試方案為虛擬專用網絡(VPN)方案，所有測試人員通過由測試組織方提供的VPN進入測試環境中，通過對VPN數據包的記錄實現對測試過程的監管。

現有方法中通過VPN受測目標時，測試者訪問與接收的內容均為原始目標，因此無法阻止測試者獲取受測方的敏感數據，也就無法隱藏受測目標身份，且若受測方因某些原因想要阻止測試者測試時，只能通過阻止訪問干預測試人員。

發明內容

有鑒于此，本發明的目的在于克服現有技術的不足，提供一種審計滲透測試方法、測試節點服務器、管理服務器及系統。

為實現以上目的，本發明采用如下技術方案：

一種審計滲透測試方法，應用于測試節點服務器，所述方法包括：

接收測試者向預設的虛擬域名發出的測試請求；

根據所述測試請求對所述測試者進行身份及合規性驗證；

若驗證通過，發送所述測試請求至所述虛擬域名對應的真實的受測目標并接收所述受測目標的測試反饋信息；

對所述測試反饋信息進行脫敏隱藏變形處理，得到變形后測試反饋信息；

發送所述變形后測試反饋信息至所述測試者。

可選的，所述根據所述測試請求對所述測試者進行身份及合規性驗證，包括：

對所述測試請求進行解析，得到測試者身份信息、受測目標、請求頻率和測試提交內容；

根據預設的權限規則判斷所述測試者身份信息是否有權訪問所述受測目標；

若有權訪問所述受測目標，根據預設的合規規則對所述請求頻率和所述測試提交內容進行合規性檢測。

可選的，所述對所述測試反饋信息進行脫敏隱藏變形處理，得到變形后測試反饋信息，包括：

根據預設敏感標準判斷所述測試反饋信息是否包含敏感信息；

若所述測試反饋信息包含敏感信息，利用預設的脫敏規則對所述測試反饋信息進行脫敏處理，得到脫敏后反饋信息；

利用預設的信息隱藏規則對所述脫敏后反饋信息進行數據隱藏處理，得到所述變形后測試反饋信息。

可選的，還包括：

根據所述測試請求生成日志；

根據預設標記規則對所述日志設置標簽及請求屬性；

發送帶有標簽及屬性的所述日志至數據整理服務器進行存儲。