在開(kāi)始APP滲透測(cè)試時(shí)，根據(jù)需要制定步驟，并向委托方詳細(xì)說(shuō)明需要使用的工具、方法等。具體操作時(shí)，會(huì)把滲透測(cè)試分成三個(gè)部分和階段，不同的角度使區(qū)別的方法有所不同，例如在理論上把滲透測(cè)試分為準(zhǔn)備階段、滲透測(cè)試階段、整體對(duì)比與評(píng)估階段，而在技術(shù)操作上分為探測(cè)、攻擊滲透、目標(biāo)權(quán)限獲取三個(gè)階段。

在具體的實(shí)施過(guò)程中要考慮以下因素：委托方規(guī)模、網(wǎng)絡(luò)分布、系統(tǒng)組成。本課程的測(cè)試目的、范圍、時(shí)間、地點(diǎn)、人員信息、風(fēng)險(xiǎn)規(guī)避的方法、整體計(jì)劃、過(guò)程等都有詳細(xì)的說(shuō)明。整個(gè)測(cè)試由信息采集檢測(cè)、漏洞掃描和滲透攻擊三個(gè)部分組成，其中以信息采集、漏洞掃描、滲透攻擊為主。

(1)探測(cè)階段：采用市場(chǎng)上主要的軟件和工具，分別在兩個(gè)不同的APP上進(jìn)行測(cè)試，得出結(jié)果后進(jìn)行對(duì)比，然后在自動(dòng)滲透測(cè)試集成系統(tǒng)中設(shè)計(jì)探測(cè)模塊。

(2)漏洞掃描階段：主要利用掃描工具，對(duì)網(wǎng)站進(jìn)行掃描，獲取漏洞信息，總結(jié)掃描出的漏洞，總結(jié)各種掃描工具的優(yōu)缺點(diǎn)，以供自動(dòng)滲透測(cè)試集成系統(tǒng)中掃描模塊設(shè)計(jì)參考。

(3)滲透階段：采用終端操作和圖形界面操作兩種方式，滲透到APP，找出APP存在的安全問(wèn)題，對(duì)測(cè)試結(jié)果進(jìn)行詳細(xì)分析，修復(fù)存在的安全問(wèn)題和漏洞后，設(shè)計(jì)自動(dòng)化集成測(cè)試系統(tǒng)的滲透攻擊模塊。

(4)自動(dòng)滲透測(cè)試階段：自動(dòng)滲透測(cè)試系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)，利用該系統(tǒng)對(duì)網(wǎng)站進(jìn)行自動(dòng)滲透測(cè)試，通過(guò)與前面單維度方法得出的測(cè)試結(jié)果進(jìn)行對(duì)比，得出一定結(jié)論和兩種方法的優(yōu)缺點(diǎn)，為今后網(wǎng)站的安全維護(hù)提供經(jīng)驗(yàn)。