渗透测试什么时候进行

渗透测试执行时间一般在不影响客户正常业务的时间段进行，渗透测试的执行时间会在开始项目前的合同内明确规定，一般情况都是在白天工作时间内进行，若有特殊情况可以在客户公司下班后甚至是在凌晨进行，当完成时间的确定即可以开始信息收集了。

渗透测试的第一个阶段是明确需求（pre-engagement）阶段。在这个阶段，测试人员通过商谈明确客户的测试目的、测试的深入程度和既定条件（即项目范围）等信息。待与客户确定了项目范围、书面文档的格式等必要信息之后，测试人员即可进入渗透测试的实质阶段。

下面一个阶段是信息收集（information-gathering）阶段。这个阶段的任务是搜索客户的公开信息，甄别目标系统的连入手段。在后面的威胁建模（threat-modeling）阶段，测试专家要综合信息收集阶段的工作成果，权衡各项威胁（可被攻击人员用于突破防线的安全问题）的价值和影响。威胁建模阶段的评估工作，旨在拟定渗透测试的测试方案和测试方法。

在测试人员正式攻击系统之前，还要完成漏洞分析（vulnerability analysis）工作。测试人员此时应当尽力挖掘目标系统中的安全漏洞，以便在漏洞验证（exploitation）阶段找到可被利用的安全问题。每验证出一个可被利用的安全漏洞都可能带领渗透测试进入深度攻击（post-exploitation）阶段。简单来说，深度攻击阶段的任务就是利用漏洞验证阶段发现的exploit进行攻击，以获得更多的内部信息、敏感数据、访问其他系统的权限。

渗透测试的最后一个阶段是书面汇报（reporting）阶段。测试人员将在这一阶段以不同的视角对所有安全问题进行分析和总结，分别交付给客户的高层管理人员和技术执行人员。