渗透测试就是利用我们所掌握的渗透知识，对网站进行一步一步的渗透，发现其中存在的漏洞和隐藏的风险，然后撰写一篇测试报告，提供给我们的客户。客户根据我们撰写的测试报告，对网站进行漏洞修补，以防止黑客的入侵!

　　渗透测试流程举例?

　　我们现在就模拟黑客对一个网站进行渗透测试，这属于黑盒测试，我们只知道该网站的URL，其他什么的信息都不知道。

　　确定目标

　　确定范围：测试目标的范围、ip、域名、内外网、测试账户。

　　确定规则：能渗透到什么程度，所需要的时间、能否修改上传、能否提权、等等。

　　确定需求：web应用的漏洞、业务逻辑漏洞、人员权限管理漏洞、等等。

　　信息收集

　　方式：主动扫描，开放搜索等。

　　开放搜索：利用搜索引擎获得：后台、未授权页面、敏感url、等等。

　　基础信息：IP、网段、域名、端口。

　　应用信息：各端口的应用。例如web应用、邮件应用、等等。

　　系统信息：操作系统版本

　　版本信息：所有这些探测到的东西的版本。

　　服务信息：中间件的各类信息，插件信息。

　　人员信息：域名注册人员信息，web应用中发帖人的id，管理员姓名等。

　　防护信息：试着看能否探测到防护设备。

　　漏洞探测

　　漏洞验证

　　内网转发

　　内网横向渗透

　　权限维持

　　痕迹清除

　　撰写渗透测试保告