渗透测试是一种通过模拟攻击者的技术与方法，挫败目标系统的安全控制措施并取得访问权限的安全测试方法。

能够通过识别安全问题来了解一个信息系统当前的安全状况，可以了解安全问题可能对业务造成的风险。

基本流程：

1、前期交互（项目授权）：同客户/甲方/测试目标进行的前期沟通，主要包括划定范围、确定计划和技术方针、制订应急响应策略等

2、信息收集：通过各种技术手段了解测试目标的详细情况，也是今天讨论的重点

3、威胁建模：在掌握目标情报的基础上，确定最佳的渗透路径

4、漏洞分析：发现系统及应用中可以被利用的脆弱点和漏洞

5、渗透攻击：利用漏洞、绕过防护机制，建立到系统或数据的访问通道

6、后渗透：识别已攻陷系统的价值，建立长期控制以便后续使用

7、撰写报告：针对客户不同层次人员出具的测试报告，高层管理人员：概述性的报告  技术负责人：执行报告