滲透測試哪個階段最重要

信息收集是滲透測試階段最重要的，只有掌握了目標網站或目標主機足夠多的信息之后，我們才能更好地對其進行漏洞檢測。最簡單的比如說目標站點的ip、中間件、腳本語言、端口、郵箱等等。信息收集的方式分為主動和被動。主動信息收集通過直接訪問、掃描網站，這種流量將流經網站，被動信息收集利用第三方的服務對目標進行訪問了解，比例：Google 搜索、Shodan 搜索等，在實際的應用中，通常是兩種方式相結合的方式，采集到目標更完整的信息。

滲透測試具體流程階段如下：

1. 前期交互階段。

   該階段通常是用來確定滲透測試的范圍和目標。

2. 情報收集階段。

   該階段需要采用各種方法來收集目標主機的信息。

3. 威脅建模階段。

   該階段主要是使用信息搜集階段所獲得的信息，來標識目標系統有存在可能存在的安全漏洞與弱點的方法之一。

4. 漏洞分析階段。

   該階段將綜合從前面幾個環節中獲取到的信息，從中分析理解那些攻擊和用途徑是可行的，特別是需要重點分析端口和漏掃描結果，截獲到服務的重要信息，以及在信息收集環節中得到其他關鍵性的位置信息。

5. 滲透攻擊階段。

   該階段可能是存在滲透測試過程中最吸引人的地方，然后在這種情況下，往往沒有用戶所預想的那么一帆風順，而是曲徑通幽，在攻擊目標系統主機時，一定要清晰的了解在目標系統存在這個漏洞，否則，根本無法啟動攻擊成功的步驟。

6. 后滲透測試階段。

   該階段在任何一次滲透過程中都是一個關鍵環節，該階段將以特定的業務系統作為目標，識別出關鍵的基礎設施，并尋找客戶組織罪具有價值和嘗試進行安全保護的信息和資產。

7. 滲透測試報告。

   報告是滲透測試過程中最重要的因素，使用該報告文檔可以交流滲透測試過程中國做了什么，如何做的以及最為重要的安全漏洞和弱點。

回答所涉及的環境：聯想天逸510S、Windows 10。