滲透測試怎么樣算是完成了

滲透測試一般為完成滲透測試授權書規定的內容則為滲透測試完成，也有情況是根據不同的客戶的目標滲透測試結束標準也不一樣，正常客戶目的是拿到服務器權限和找到服務器漏洞為滲透測試結束目標，也有的客戶只要求找出相應漏洞而不要求拿取權限。

對于web應用的滲透測試，大致可分為三個階段：信息收集、漏洞發現以及漏洞利用。在實踐過程中需要進一步明細測試的流程，以下通過9個階段來描述滲透測試的整個流程：

1.明確目標

1）確定范圍：測試的范圍，如：IP、域名、內外網、整站or部分模塊
2）確定規則：能滲透到什么程度（發現漏洞為止or繼續利用漏洞）、時間限制、能否修改上傳、能否提權…
3）確定需求：web應用的漏洞(新上線程序)？業務邏輯漏洞（針對業務的）？人員權限管理漏洞（針對人員、權限）？

2.分析風險，獲得授權

分析滲透測試過程中可能產生的風險，如大量測試數據的處理、影響正常業務開展、服務器發生異常的應急、數據備份和恢復、測試人力物力成本…

3.信息收集

在信息收集階段，我們需要盡量多的收集關于目標web應用的各種信息，比如：腳本語言的類型、服務器的類型、目錄的結構、使用的開源軟件、數據庫類型、所有鏈接頁面，用到的框架等。
方式：主動掃描；開放搜索

4.漏洞探測（手動&自動）

利用上一步中收集的信息，使用相應的漏洞檢測

5.漏洞驗證

將上一步中發現的有可能可以成功利用的全部漏洞都驗證一遍。結合實際情況，搭建模擬環境進行試驗，成功后再應用于目標中。

6.信息分析

為下一步實施滲透做準備

7.利用漏洞，獲取數據

8.信息整理

9.形成報告

回答所涉及的環境：聯想天逸510S、Windows 10。