1前期交互阶段：确定渗透测试范围、目标、限制条件以及服务合同细节；

2情报搜集阶段：获取目标网络拓扑、系统配置、安全防御措施等；

3威胁建模阶段：针对获取的信息进行威胁建模与攻击规划；

4漏洞分析阶段：综合分析汇总的情报信息，从扫描结果、服务查点信息等

5渗透攻击阶段：利用找出的漏洞进行渗透测试，获取访问控制权限；

6后渗透攻击阶段：根据目标组织业务经营模式，保护资产形式等自主设计攻击目标，寻找客户组织最具价值和尝试安全保护的信息和资产，最终实施能造成业务影响的攻击；

7报告阶段：凝聚所有阶段获取的关键信息情报信息、探测和发掘出业务系统的安全漏洞、成功的渗透攻击过程，同时站在防御者角度分析安全系统中最薄弱的环节及修补与升级技术方案。