- 前期交互 Pre-engagement Interactions
- 情报收集 Intelligence Gathering
- 威胁建模 Threat Modeling
- 漏洞分析 Vulnerability Analysis
- 渗透攻击 Exploitation
- 后渗透攻击 Post Exploitation
- 报告 Reporting
如上为渗透测试执行标准 PTES(Penetration Testing Execution Standard),其中信息收集是如上1,2两项,是对目标系统的探查,包括获知它的行为模式、运行机理,以及最终可以如何攻击。对于渗透测试前期来说是非常重要的,一个完美的渗透测试可能百分之八十的时间在进行信息收集,因为只有掌握了目标网站或目标主机足够多的信息之后,我们才能更好地对其进行漏洞检测、发起攻击等后续操作,以下列出信息收集的大致步骤,旨在为初期学习接触有个体系化的框架,具体每个节点的细节内容将在后续文章介绍,敬请期待吧!
信息收集阶段应尽量可能多的获取目标Web应用的各种信息。信息收集工作是Web渗透测试最基础、也是最重要的阶段, 收集的有用信息, 可大大提高渗透测试的成功率。信息搜集在渗透测试中的作用不言而喻。
