滲透測試怎麼做？滲透測試的步驟有哪些？

　　滲透測試，是為了證明網路防禦按照預期計劃正常執行而提供的一種機制，也是一種測試應用程式、網路和計算機系統的方法，用於識別可能被利用的安全漏洞，防止未經授權的訪問、更改和利用系統。那麼滲透測試步驟包含什麼?以下是詳細的內容介紹。

　　滲透測試一定要遵循軟體測試基本流程，要知道測試過程和目標特殊，在具體實施步驟上主要包含以下幾步：

　　1、明確目標

　　當測試人員拿到需要做滲透測試的專案時，首先確定測試需求，如測試是針對業務邏輯漏洞，還是針對人員管理許可權漏洞等;然後確定客戶要求滲透測試的範圍，如ip段、域名、整站滲透或者部分模組滲透等;最後確定滲透測試規則，如能夠滲透到什麼程度，是確定漏洞為止還是繼續利用漏洞進行更進一步的測試，是否允許破壞資料、是否能夠提升許可權等。

　　2、收集資訊

　　在資訊收集階段要儘量收集關於專案軟體的各種資訊。比如：對於一個Web應用程式，要收集指令碼型別、伺服器型別、資料庫型別以及專案所用到的框架、開源軟體等。資訊收集對於滲透測試來說非常重要，只要掌握目標程式足夠多的資訊，才能更好地進行漏洞檢測。

　　資訊收集的方式可分為以下2種：主動收集、被動收集。

　　3、掃描漏洞

　　在這個階段，綜合分析收集到的資訊，藉助掃描工具對目標程式進行掃描，查詢存在的安全漏洞。

　　4、驗證漏洞

　　在掃描漏洞階段，測試人員會得到很多關於目標程式的安全漏洞，但這些漏洞有誤報，需要測試人員結合實際情況，搭建模擬測試環境對這些安全漏洞進行驗證。被確認的安全漏洞才能被利用執行攻擊。

　　5、分析資訊

　　經過驗證的安全漏洞就可以被利用起來向目標程式發起攻擊，但是不同的安全漏洞，攻擊機制不同，針對不同的安全漏洞需要進一步分析，制定一個詳細的攻擊計劃，這樣才能保證測試順利執行。

　　6、滲透攻擊

　　滲透攻擊實際是對目標程式進行的真正攻擊，為了達到測試的目的，像是獲取使用者賬號密碼、擷取目標程式傳輸資料等。滲透測試是一次性測試，在攻擊完成後能夠執行清理工作。

　　7、整理資訊

　　滲透攻擊完成後，整理攻擊所獲得的資訊，為後邊編寫測試報告提供依據。

　　8、編寫報告

　　測試完成之後要編寫報告，闡述專案安全測試目標、資訊收集方式、漏洞掃描工具以及漏洞情況、攻擊計劃、實際攻擊結果等。此外，還要對目標程式存在的漏洞進行分析，提供安全有效的解決辦法。