渗透测试过程

渗透测试采用工具扫描和人工验证相结合的方式，模拟攻击者对特定目标安全技术措施进行有效性验证，内容覆盖主机端口开放测试、任意文件上传、敏感信息泄露、敏感目录遍历、敏感接口验证，以及Shiro和Struts2等典型漏洞检测。

本次渗透测试工具包含但不限于：自研自动化漏洞挖掘系统、主机漏洞扫描、数据库漏洞扫描、Metasploit、Nmap、Burpsuite、Fscan等商业化软件和各种开源工具。

主要渗透测试流程为：

1）沟通调研：本阶段负责收集目标的信息，确定系统情况，确定测试目标，确定测试时间，沟通获取其他测试需求；

2）方案编制：针对本次测试编制渗透测试方案，方案包括：测试目标，测试流程，测试内容，风险揭示，时间计划等；

3）实施测试：使用渗透测试工具进行常规检测，通过人工漏洞挖掘针对特定系统特定服务进行手动渗透测试，并通过检测结果进行综合利用，漏洞利用手段包括但不限于：持久化、权限提升、防御绕过、凭据访问、发现、横向移动、收集、命令与控制，取证后进行记录；

4）报告编制：将发现的漏洞进行整体综合评估，并在报告中体现测试过程，测试结果，并给出危害分析，整改建议，形成渗透测试结果，编制在报告中。