信息的整理带来一定难度。
模块之间的参数传递主要是指信息收集模块的信息向漏洞测试模块与结果报告模块的参数传递，漏洞测试模块的结果信息向结果报告模块的参数传递，漏洞测试模块将在被测网络系统中可能产生的记录信息向日志清除模块的参数传递。软件实现中，信息收集以对各测试对象的扫描为主，将扫描出的主要漏洞及其与漏洞库中漏洞的对应关系传递给漏洞攻击模块，漏洞攻击模块调用相应的漏洞利用程序进行漏洞的渗透测试。
漏洞及漏洞利用程序更新网络系统中的各项应用纷繁复杂，仅仅操作系统，每天都会有新的漏洞出现，
各种应用软件系统的漏洞更是层出不穷。渗透测试软件系统的优劣很大程度上取决于漏洞数量及质量，质量的好坏是指软件是否能够紧跟当前各类软件系统的最新漏洞，能否及时更新漏洞测试工具。
f6渗透测试涉及的技术
下面我们简单介绍在渗透测试的各个阶段（与骇客攻击的阶段相似）可能会用到的一些工具。
渗透测试的各个阶段图：
61预攻击阶段基本网络信息获取pi
g目标网络得到IP地址和ttl等信息tcptraceroute和traceroute的结果whois结果
etcraft获取目标可能存在的域名、Web及服务器信息curl获取目标web基本信息
map对网站进行端口扫描并判断操作系统类型google、yahoo、baidu等搜索引擎获取目标信息采用FWtester、hpi
g3等工具进行防火墙规则探测……常规漏洞扫描和采用商用软件进行检测结合使用游刃与Nessus等商用或免费的扫描工具进行漏洞扫描采用SolarWi
d对网络设备等进行发现采用
ikto、webi
spect等软件对web常见漏洞进行扫描采用如AppDetectiv之类的商用软件对数据库进行扫描分析……对Web和数据库应用进行分析采用WebProxy、SPIKEProxy、webscarab、ParosProxy、Absi
the等工具进行分析用Ethereal抓包协助分析用websca
、fuzzer进行SQL注入和XSS漏洞初步分析手工检测SQL注入和XSS漏洞采用类似OSca
er的工具对数据库进行分析……应用分析的注意事项检查应用系统架构、防止用户绕过系统直接修改数据库
f检查身份认证模块，防止非法用户绕过身份认证检查数据库接口模块，防止用户获取系统权限检查文件接口模块，防止用户获取系统文件检查其他安全威胁其中每个环节都还有详细的checklist，读者可以自行补充。
62攻击阶段
基于通用设备、数据库、操作系统和应用的攻击可以采用各种公开及私有的缓冲区溢出程序代码，一个比较好的Exploit搜索站点是：httpwwwfrsirtcomexploits。也可以采用诸如MetasploitFramework之类的利用程序集合。
基于应用的攻击基r