项目组针对恒天软件公司的特点制定了相应的渗透测试方案。总共分为七个阶段:事前互动、情报收集、威胁建模、漏洞分析、漏洞利用、深度利用和书面报告。将这七个阶段划分为十个主要的方面:范围定界、信息收集、目标识别、服务枚举、漏洞映射、社会工程学、漏洞利用、提升权限、访问维护和文档报告。
针对不同的方面安全项目组采取不同的应对策略。主要从两个方面保障渗透测试高效进行:
1. 人员的配置。项目组根据个人专注的方向不同,灵活的搭配渗透测试人员,保障测试范围足够广;
2. 工具的使用。渗透测试工具琳琅满目,项目组为此针对每个方面挑选出适合的工具,保障了效率。