×

Web渗透测试基本流程
  

弓长先生丶 2188

{{ttag.title}}
对于Web应用的渗透测试,大致可分为三个阶段:
信息收集、漏洞发现、漏洞利用。在实践中过程中需要进一步明细测试流程,通过下面9个阶段描述渗透测试整个流程:
1、明确目标
    1)确定范围:测试的范围,如:IP、域名、内外网、整个or部分模块
    2)确定规则:能渗透到什么程度(发现漏洞为止or继续利用漏洞)、时间限制、能否修改上传、能否提权
                目标系统介绍、重点保护对象及特性
                是否允许数据破坏
                是否允许阻断业务正常运行
                测试之前是否应当只会相关部门接口人?
                接入方式?外网和内网?
                测试是发现问题就算成功,还是尽可能的发现多的问题?
                渗透过程是否需要考虑社会工程?
    3)确定需求:web应用的漏洞(新上线程序)?业务逻辑漏洞(针对业务的)?人员权限管理漏洞(针对人员、权限)?
根据需求和自己技术能来确定能不能做、能做多少

2、分析风险,获得授权
分析渗透测试过程中可能产生的风险,如大量测试数据的处理、影响正常业务开展、服务器发送异常的应急、数据备份和恢复、测试人力物力成本
由测试方式书写实施方案初稿并提交给客户(or本公司内部领导)进行审核。在审核完成后,从客户(or本公司内部领导)获取对测试方进行书面委托授权书,授权测试方进行渗透测试

3、信息收集
在信息收集阶段,我们需要尽量多的收集关于目标web应用的各种信息,比如:脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面,用到的框架等
方式:主动扫描、开放搜索
开放搜索:利用搜索引擎获得后台、未授权页面、敏感url
基础信息:IP、网段、域名、端口
系统信息:操作系统版本
应用信息:各端口的应用,例如web应用,邮件应用等
版本信息:所有探测到的版本
服务信息:服务器类型、版本
人员信息:域名注册人员信息,web应用中网站发帖人的id,管理员姓名等
防护信息:试试看能否探测到防护设备

4、漏洞探测(手动)&自动
利用上一步列出的信息,使用相应的漏洞检测
    方法:
    1、漏扫:AWVS、Appscan
    2、结合漏洞去exploit-db等位置找利用
    3、在网上寻找验证POC

    内容:
系统漏洞:系统没有及时打补丁
Webserver漏洞:Webserver配置问题
Web应用漏洞:Web应用开发问题
其他端口服务漏洞:各种21/8080(ST2)/7001/22/3389
通信安全:明文传输,token在cookie中传送等

5、漏洞验证
将上一步中发现的有可能可以成功利用的全部漏洞全部验证一遍,结合实际情况,搭建模拟环境进行试验,成功后在应用与目标中
    自动化验证:结合自动化扫描工具提供的结果
    手工验证:根据公开资源进行验证
    登录猜解:有时可以尝试猜解一下登录口的账号密码等信息
    业务漏洞验证:如发现业务漏洞,要进行验证
公开漏洞利用
    exploit-db/wooyun/
渗透代码网站
通用、缺省口令
厂商的漏洞警告等

6、信息分析
    为下一步实施渗透做准备   
        精准攻击:准备好上一步探测到的漏洞exp(漏洞利用),用来精装攻击
        绕过防御机制:是否有防火墙等设备,如何绕过
        定制攻击路径:最佳攻击路径,根据薄弱入口,高内网权限位置,最终目标
        绕过检测机制:是否有检测机制,流量监控、杀毒软件、恶意代码检测等(免杀)
        攻击代码:经过试验得来的代码,包括不限于xss代码、sql注入语句等

7、利用漏洞,获取数据
    实施攻击:根据前几步的结果,进行攻击
    获取内部信息:基础设施(网络连接,vpn路由、拓扑等)
    进一步渗透:内网入侵,敏感目标
    持续性存在:一般客户做渗透不需要,rookit,后门,添加管理员账号,驻扎手法等
    清理痕迹:清理相关日志(访问、操作)上传文件

8、信息整理
    整理渗透工具:整理渗透过程用到的代码,poc、exp等
    整理收集信息:整理渗透过程中收集到的一切信息
    整理漏洞信息:整理渗透过程中遇到的各种漏洞,各种脆弱位置信息
    目的:为了最后形成报告,形成测试结果使用

9、形成报告
    按需整理:按照之前第一步跟客户确定范围,需求来整理资料,并将资料形成报告
    补充介绍:要对漏洞成因,验证过程和带来危害进行分析

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

Sangfor2419 发表于 2020-12-1 19:02
  
感谢楼主分享,此贴将web渗透测试的基本流程介绍的比较详细,但是还缺少一些楼主自己的分析和经验分享,期待楼主有更加精彩的分享~
Sangfor_闪电回_朱丽 发表于 2020-12-1 14:12
  
您好,感谢您的分享!
该文与网上内容,相似度达到90%以上,不符合本季原创分享的要求,暂不做收录!
https://www.cnblogs.com/klb561/p/12152649.html
ie5000 发表于 2021-4-2 12:48
  
流程详细,感谢楼主分享
新手589624 发表于 2021-4-23 08:24
  
坚持每天登陆论坛学习
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人