渗透测试的基本流程

渗透测试先对应用指纹等进行信息搜集，然后针对搜集的信息，看相关应用默认配置是否有更改，是否有加固过；端口开放情况，是否开放了多余的端口；风险评级：中风险安全建议搭建最小化平台，该平台不包含任何不必要的功能、组件、文档和示例。移除或不安装不适用的功能和框架。在所有环境中按照标准的加固流程进行正确安全配置。

Web应用的渗透测试流程主要分为3个阶段：信息收集、漏洞发现、漏洞利用。

紧接着，情报搜集如同侦探的侦查工作，渗透测试者运用多元手段，从蛛丝马迹中获取组织的网络轮廓（情报搜集）。无论是主动出击，直接访问服务器的漏洞，还是悄然潜行，通过搜索引擎的间接探测，都为后续的攻击路径构建了基础。