渗透测试经常被谈论。我认为当你进行渗透界面测试时，你会发现渗透测试的这个方面是:1。基本漏洞测试；2.抱着“低调”的想法；3.毅力。在渗透测试期间，我们正弦安全将发现客户的网站和应用程序中存在漏洞。让我们在这里分享具体的渗透测试过程:首先，我们必须收集客户网站的信息内容。在收集信息内容时，我们必须从客户的渗透测试目的入手，收集二级域名。我们必须注意这个过程是否必须完成。如果客户的目的只是做一个平台网站的安全测试，在这种情况下，收集二级域名的价值不是很大。如果规定某个平台网站应该为了某个目的而被渗透，就必须收集。收集二级域名的方法主要集中在域名系统漏洞、md5破解、域名解析和搜索等方面。对于方面的渗透，并排搜索也是一个想法。知识产权信息内容收集:c段和b段更适用于IDC服务提供商的数据中心或过去的云主机建设。如果是云环境，每个人都可以特别注意公钥或令牌的泄漏，我们的SINE安全研究文章有很多相关内容。港口和服务项目的信息内容:关键是根据相关软件进行扫描，如nmap和masscan。比较敏感文件目录和相对路径:注意依靠常用字典和软件来区分它们的方法；网站环境和后端开发模块可以通过许多谷歌插件和。cms源代码也可以通过scanner来区分:这个相对关键、通常相对较大的客户要么是自己开发的系统软件，要么是完美的cms源代码系统软件。您可以收集这些信息内容，这便于您搜索已知的系统漏洞并加深攻击。更多信息:还有账户密码、令牌、香港/LK信息内容、以往系统漏洞、以往系统漏洞中的敏感信息内容等。收集方法的关键是主要的搜索引擎和三方支付平台(GitHub是关键平台)。收集信息内容的关键是收集日常生活中的字典和软件库，以及随机收集信息内容的方法，而不限制自己的想法。第2步网站漏洞检测漏洞检测首先取决于信息内容收集的结果。通常有四种结果:那些可以立即使用的，如敏感文件数据信息的泄露；它可以间接使用，并且后端开发模块或cms源代码的版本号在系统漏洞已知的受影响区域；它可以在将来使用，在这个阶段信息内容不能列出很多功能，但是它会在渗透的整个过程中提供功能，比如一个局域网的账户密码；无用的信息。通常漏洞检测还