1.2.1 前期與客戶的交流

在這個階段，滲透測試者需要得到客戶的配合來確定整個滲透測試任務的范圍，也就是說要確定對目標的哪些設備和哪些問題進行測試。而這些內容是在與客戶進行商討之后得出的。在整個商討的過程中，重點考慮的因素如下。

1．滲透測試的目標

通常這個目標會是一個包含很多主機的網絡。這時需要確定的是滲透測試所涉及的IP地址范圍和域名范圍。但是客戶所使用的Web應用程序和無線網絡，甚至安保設備和管理制度，也可能成為滲透測試的目標。同樣還應明確客戶需要的是全面評估還是只針對其中某一方面或部分評估。

2．進行滲透測試過程所使用的方法

這個階段可以采用的方法主要有黑盒測試、白盒測試和灰盒測試3種。

3．進行滲透測試所需要的條件

如果采用的是白盒測試，需要客戶提供測試必需的信息和權限，客戶最好可以接受問卷調查。確定進行滲透的時間，例如，只能在周末進行還是隨時都可以進行。如果在滲透測試過程中導致目標受到破壞，應該如何補救等。

4．滲透測試過程中的限制條件

在整個滲透測試過程中，必須與客戶明確哪些設備不能進行滲透測試，以及哪些技術不能應用。另外，也需要明確在哪些時間段不能進行滲透測試。

5．滲透測試過程的工期

根據客戶的需求，給出整個滲透測試的進度表。客戶可以了解滲透測試的開始時間與結束時間，以及在每個時間段進行的工作。

6．滲透測試的費用

這個話題其實很少出現在一本教科書中，但是，在實踐中這恰恰是一個很復雜的問題，需要考慮的因素很多。例如，在對一個擁有100臺計算機的網絡進行滲透測試的時候，收取的費用為10萬元，那么每臺計算機的費用就是1000元。但這并不是一種線性關系，如果某個客戶只要求對一臺計算機進行滲透測試，那么費用不能只是1000元，因為工作量明顯不同。在計算費用的時候要充分考慮各種成本。

7．滲透測試過程的預期目標

滲透測試者必須牢記的一點是，自己并非黑客。發現目標存在的漏洞、獲取目標的控制權限或者得到目標的管理密碼只完成了一部分任務，還需要明確客戶期望在滲透測試結束時應該實現什么目標，最終的滲透報告應該包含哪些內容。