渗透测试执行标准 (PTES)

渗透测试执行标准 (PTES)是一种渗透测试方法。它由信息安全从业人员团队开发，旨在解决渗透测试中对完整和最新标准的需求。除了指导安全专业人员外，它还试图告知企业他们应该从渗透测试中得到什么，并指导他们确定范围和谈判成功的项目。

PTES流程：
PTES 在七个主要部分中描述了渗透测试：

1. 订婚前互动：
   这是渗透测试的准备阶段。这完全是关于测试所需的文件批准和工具。
2. 情报收集：
   在此阶段，有关目标系统的信息是从社交媒体网站、官方记录等外部来源收集的。此阶段属于OSINT （开源情报）。
3. 威胁建模：
   它是一种通过识别目标和漏洞，然后定义对策以防止或减轻对系统的威胁的影响，从而优化网络安全的过程。它在典型的泛测试中被跳过。
4. 漏洞分析：
   此阶段发现并验证漏洞。这是攻击者可以利用并获得对系统或应用程序的授权访问的风险。
5. 开发：
   在此阶段，测试人员尝试使用先前识别和验证的漏洞来达到目标系统的安全性。
6. 后期开发：
   此阶段保持对目标系统的控制并收集数据。
7. 报告：
   以客户可以理解的形式记录整个过程。关于目标系统安全性的报告。