滲透的本質是一個不斷提高其權限的過程。黑客可以通過提高目標系統(tǒng)的權限獲得更多關于目標系統(tǒng)的敏感信息，我們也可以通過滲透評估目標系統(tǒng)的信息安全風險。滲透較重要的環(huán)節(jié)是目標系統(tǒng)Web應用程序進行滲透試驗，找出Web因此，滲透試驗是應用的安全漏洞Web安全防護的第一步也是進一步深度防御的敲門磚。

1、滲透概念

什么是滲透？滲透英文名稱penetration test，簡稱為pentest。滲透沒有標準的定義一些安全組織達成共識的一般說法是，滲透是指模擬攻擊者入侵以評估計算機系統(tǒng)安全的行為，這是一種授權行為。該過程包括積極分析系統(tǒng)的任何弱點、技術缺陷或漏洞，這是從攻擊者可能存在的位置進行的，并有條件積極利用該位置的安全漏洞。換句話說，滲透是指滲透人員在不同位置（如內部網(wǎng)絡、外部網(wǎng)絡等位置）使用各種方法特定網(wǎng)絡，發(fā)現(xiàn)和挖掘系統(tǒng)中的漏洞，然后輸出滲透報告并提交給網(wǎng)絡所有者。根據(jù)滲透人員提供的滲透報告，網(wǎng)絡所有者可以清楚地了解系統(tǒng)中存在的安全風險和問題。滲透還具有兩個明顯的特點：滲透是一個漸進、逐步深入、持續(xù)改進權限的過程；滲透的選擇不影響業(yè)務系統(tǒng)的正常運行。想象一下：實時更新網(wǎng)絡安全策略。也做好了相關的網(wǎng)絡安全加固，部署了相關的安全產品，確保所有的安全問題都得到了解決。為什么進行滲透？因為滲透可以獨立檢測你的網(wǎng)絡的安全風險和問題，換句話說，它為你的系統(tǒng)安裝了一雙金眼睛！

2、滲透試驗過程

滲透一般分為黑盒和白盒，在大多數(shù)情況下是黑盒。滲透過程一般分為信息收集、制定滲透計劃和實施、積累目標信息、分析信息、進一步攻擊、獲取目標系統(tǒng)權限、提高目標系統(tǒng)權限、進入內部網(wǎng)絡、域控滲透、控制整個內部網(wǎng)絡、對目標提出安全建議。這是一些滲透過程，每一步都是決定是否繼續(xù)滲透的關鍵。

3、滲透思路

我們以“以攻促防”的思想為前提，大致敘述下滲透的思路。我們敘述它的主要目的是讓大家學會從攻擊者的角度促進網(wǎng)絡安全的防御，這樣，大家才能夠真正地意識到網(wǎng)絡攻擊的危害性，能夠更好地保護自己的網(wǎng)絡和保護自己的網(wǎng)絡中的重要資產信息。以下是在平時進行滲透的時候，習慣使用的一些滲透思路，這些思路可幫助滲透工程師迅速找到突破口