渗透测试之信息收集

1. 前期交互 Pre-engagement Interactions
2. 情报收集 Intelligence Gathering
3. 威胁建模 Threat Modeling
4. 漏洞分析 Vulnerability Analysis
5. 渗透攻击 Exploitation
6. 后渗透攻击 Post Exploitation
7. 报告 Reporting

如上为渗透测试执行标准 PTES（Penetration Testing Execution Standard），其中信息收集是如上1,2两项，是对目标系统的探查，包括获知它的行为模式、运行机理，以及最终可以如何攻击。对于渗透测试前期来说是非常重要的，一个完美的渗透测试可能百分之八十的时间在进行信息收集，因为只有掌握了目标网站或目标主机足够多的信息之后，我们才能更好地对其进行漏洞检测、发起攻击等后续操作，以下列出信息收集的大致步骤，旨在为初期学习接触有个体系化的框架，具体每个节点的细节内容将在后续文章介绍，敬请期待吧！

信息收集阶段应尽量可能多的获取目标Web应用的各种信息。信息收集工作是Web渗透测试最基础、也是最重要的阶段, 收集的有用信息, 可大大提高渗透测试的成功率。信息搜集在渗透测试中的作用不言而喻。