1、資訊收集

資訊收集剖析這是所有侵略惡意攻擊前提條件/原曲/基本。根據對網際網路資訊收集剖析，能夠隨之、針對性地制訂模擬模擬駭客攻擊惡意攻擊方案，以提升侵略成功機率、減少曝露或被發現了的機率。資訊收集的辦法包含伺服器網路掃描、操作型別辨別、運用辨別、賬戶掃描器、配置辨別這些。

2、埠掃描

根據對總體目標地址的TCP/UDP埠掃描，確認其所開放式的提供服務的數量及種類，這是每個網站滲透測試的前提。根據埠掃描，能夠基本上確定一個系統軟體的相關資訊，融合測試工程師積累的經驗可以知道其可能出現，和被利用的安全性缺點，為開展更深層次的滲入提供參考。

3、許可權提升

根據獲取資訊與分析，具有二種機率，其一是總體目標系統軟體存在重大缺點：測試工程師能直接保障措施系統軟體，之後直接調研總體目標系統中缺點遍佈、緣故，產生最後的檢測報告；其二是總體目標系統軟體並沒有遠端控制重要缺點，但是能夠得到遠端控制一般許可權，這時候測試工程師能透過該一般許可權進一步蒐集總體目標系統資料。下面，竭盡全力獲得當地許可權，蒐集當地材料資訊內容，尋找當地許可權提升的機遇。這種不斷地資訊收集剖析、許可權提升的結論將組成本次新專案全部網站滲透測試流程的匯出。

4、溢位測試

5、WEB應用測試

Web指令碼製作及應用測試針對Web及資料庫服務開展。依據最新統計分析，指令碼製作安全性缺點為現階段Web系統，特別是存有動態性影片的Web系統非常嚴重的安全性缺點之一。利用指令碼製作有關缺點輕者可以獲得系統軟體別的檔案目錄的訪問限制，嚴重將有可能會獲得系統軟體控制權限。所以對於帶有動態網站的Web、資料庫系統等功能，Web指令碼製作及應用測試將是不可缺少的的一個環節。

6、SQL注入攻擊

SQL引入多見於運用了SQL資料庫後端網路伺服器，侵略者根據遞交一些獨特SQL句子，最後很有可能獲得、偽造、操縱網址服務端資料庫系統裡面的內容。該類系統漏洞是侵略者常用侵略方式之一。

7、檢測頁面隱藏欄位

網站應用系統軟體常選用隱藏欄位儲存資訊。很多根據頁面的電子商務應用程式流程用隱藏欄位來存放產品價格、登入名、登陸密碼等敏感內容。故意使用者使用實際操作隱藏欄位具體內容做到故意交易盜取資訊內容等情形，是一種非常可怕的系統漏洞。

8、跨站惡意攻擊

侵略者可以利用網址來惡意攻擊瀏覽此網站的終端產品使用者，來獲取客戶動態口令或者使用網站掛馬來西亞操縱手機客戶端。

9、Cookie利用

網站應用系統軟體常使用cookies機制在手機客戶端伺服器上儲存一些資訊內容，比如客戶ID、動態口令、時戳等。侵略者很有可能根據偽造cookies具體內容，獲得客戶的賬戶，造成嚴重後果。

10、後門程式檢查

系統軟體開發環節中遺留下來的側門和調節選擇項有可能被侵略者所利用，造成侵略者輕而易舉地從近道執行惡意攻擊。

11、第三方軟體誤配置

第三方軟體錯誤設定可能造成侵略者利用該系統漏洞結構不同種類的侵略惡意攻擊。