渗透测试方法论

为什么需要渗透测试？

         答:如果不能确定防火墙、IDS、文件完整性监控等风险减缓控制的实际效果，那么就应当进行渗透测试。虽然漏洞扫描（脆弱性评估）能够发现各个漏洞，但是渗透测试则会验证这些漏洞在实际环境里被利用的可能性。

 

 

 

标准的渗透测试

         .事前互动

         .情报收集

         .威胁建模

         .漏洞分析

         .漏洞利用

         .深度利用

         .书面报告

 

 

 

通用渗透测试框架

         .范围界定

         .信息收集

         .目标识别

         .服务枚举

         .漏洞映射

         .社会工程学

         .漏洞利用

         .提升权限

         .访问维护

         .文档报告