参考 PTES 渗透执行标
准
1 、前期交互阶段 前期交互阶段通常是由你与客户组织进行讨论,来确定渗透测试的范围与目标。
2 、信息收集 情报搜集阶段对目标进行一系列踩点 , 包括:使用社交媒体网 \Google Hacking 技术 \ 目标系统踩
点等等,从而获知它的行为模式、运行机理。
3 、威胁建模阶段 威胁建模主要使用你在情报搜集阶段所获取的信息,来标识出目标系统上可能存在的安全漏洞
与弱点。
4 、漏洞分析阶段 漏洞分析阶段主要是从前面几个环节获取的信息,并从中分析和理解哪些攻击途径会是可行的。
5 、渗透攻击阶段 渗透攻击主要是针对目标系统实施已经经过了深入研究和测试的渗透攻击,并不是进行大量漫
无目的的渗透测试。
6 、后渗透攻击阶段 后渗透攻击阶段从你已经攻陷了客户组织的一些系统或取得域管理员权限之后开始,将以特
定业务系统为目标,标识出关键的基础设施,并寻找客户组织最具价值和尝试进行安全保护的信息和资产,并需要
演示出能够对客户组织造成最重要业务影响的攻击途径。
