渗透测试的阶段:侦察、扫描、渗透、维持访问、报告。
阶段1:侦察
这个阶段的重点在于了解关于约定目标的一切网络信息和组织信息。这可以通过在互联网上进行搜索和对目标网络的可用连接进行主动扫描来完成。在这一阶段,测试人员并不真正渗透进入网络防御中,而是识别并收集关于目标尽可能多的信息。
阶段2:扫描
测试人员利用第一阶段获取到的信息,对目标的网络和信息系统进行实际扫描。在这一阶段通过利用工具,一个更加清晰的网络和信息系统基础设施将成为接下来的渗透目标。在这一阶段获取的信息将被渗透阶段使用。
阶段3:渗透
这个阶段的目标是在不被发觉的情况下通过运用系统漏洞和成熟技术侵入目标系统,并带出相关信息。
阶段4:维持访问
一旦系统被渗透后,就会留下后门和rootkit以便将来访问。
阶段5:报告
渗透测试人员也会花费相当多的笔墨解释入侵过程中的每一步、漏洞利用方式以及系统的缺陷。