滲透測試什么時候進行

滲透測試執行時間一般在不影響客戶正常業務的時間段進行，滲透測試的執行時間會在開始項目前的合同內明確規定，一般情況都是在白天工作時間內進行，若有特殊情況可以在客戶公司下班后甚至是在凌晨進行，當完成時間的確定即可以開始信息收集了。

滲透測試的第一個階段是明確需求（pre-engagement）階段。在這個階段，測試人員通過商談明確客戶的測試目的、測試的深入程度和既定條件（即項目范圍）等信息。待與客戶確定了項目范圍、書面文檔的格式等必要信息之后，測試人員即可進入滲透測試的實質階段。

下面一個階段是信息收集（information-gathering）階段。這個階段的任務是搜索客戶的公開信息，甄別目標系統的連入手段。在后面的威脅建模（threat-modeling）階段，測試專家要綜合信息收集階段的工作成果，權衡各項威脅（可被攻擊人員用于突破防線的安全問題）的價值和影響。威脅建模階段的評估工作，旨在擬定滲透測試的測試方案和測試方法。

在測試人員正式攻擊系統之前，還要完成漏洞分析（vulnerability analysis）工作。測試人員此時應當盡力挖掘目標系統中的安全漏洞，以便在漏洞驗證（exploitation）階段找到可被利用的安全問題。每驗證出一個可被利用的安全漏洞都可能帶領滲透測試進入深度攻擊（post-exploitation）階段。簡單來說，深度攻擊階段的任務就是利用漏洞驗證階段發現的exploit進行攻擊，以獲得更多的內部信息、敏感數據、訪問其他系統的權限。

滲透測試的最后一個階段是書面匯報（reporting）階段。測試人員將在這一階段以不同的視角對所有安全問題進行分析和總結，分別交付給客戶的高層管理人員和技術執行人員。

回答所涉及的環境：聯想天逸510S、Windows 10。