如何进行Web渗透测试

什么是渗透测试？

渗透测试，是渗透测试工程师完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标网络、主机、应用的安全作深入的探测，发现系统最脆弱的环节。

如何进行Web渗透测试？

完整web渗透测试框架当需要测试的web应用数以千计，就有必要建立一套完整的安全测试框架，流程的最高目标是要保证交付给客户的安全测试服务质量。

1、立项：项目建立，时间安排，人力分配，目标制定，厂商接口人确定；

系统分析&威胁分析：针对具体的web应用，分析系统架构、使用的组件、对外提供的接口等，以STRIDE为威胁模型进行对应的安全威胁分析，输出安全威胁分析表，重点关注top3威胁；

制定测试用例：根据威胁分析的结果制定对应的测试用例，测试用例按照模板输出，具备可执行性；

测试执行&漏洞挖掘：测试用例执行&发散测试，挖掘对应的安全问题or漏洞；

问题修复&回归测试：指导客户应用开发方修复安全问题or漏洞，并进行回归测试，确保安全问题or漏洞得到修复，并且没有引入新的安全问题；

项目总结评审：项目过程总结，输出文档评审，相关文档归档。

2、Web应用的渗透测试流程

主要分为3个阶段，分别是：信息收集→漏洞发现→漏洞利用，下面仔细分析一下各个阶段流程：

一、信息收集

在信息收集阶段，我们需要尽量多的收集关于目标web应用的各种信息，比如：脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面，用到的框架等

脚本语言的类型：常见的脚本语言的类型包括：php、asp、aspx、jsp等

测试方法：

1 爬取网站所有链接，查看后缀

2 直接访问一个不存在页面后面加不同的后缀测试

3 查看robotstxt，查看后缀

服务器的类型：常见的web服务器包括：apache、tomcat、IIS、ngnix等

测试方法：

1 查看header，判断服务器类型

2 根据报错信息判断

3 根据默认页面判断

目录的结构：了解更多的目录，可能发现更多的弱点，如：目录浏览、代码泄漏等。

测试方法

1 使用字典枚举目录

2 使用爬虫爬取整个网站，或者使用google等搜索引擎获取

3 查看robotstxt是否泄漏

使用的开源软件：我们如果知道了目标使用的开源软件，我们可以查找相关的软件的漏洞直接对网站进行测试。

测试方法

指纹识别（网络上有很多开源的指纹识别工具）

数据库类型：对于不同的数据库有不同的测试方法。

测试方法

1 使应用程序报错，查看报错信息

2 扫描服务器的数据库端口（没做NAT且防火墙不过滤时有效）

所有链接页面：这个跟前面的获取目录结构类似，但是这个不只是获取网站的所有功能页面，有时候还可以获取到管理员备份的源码。

测试方法

1 使用字典枚举页面

2 使用爬虫爬取整个网站，或者使用google等搜索引擎获取

3 查看robotstxt是否泄漏

用到的框架：很多网站都利用开源的框架来快速开发网站，所以收集网站的框架信息也是非常关键的。

测试方法

指纹识别（网络上有很多开源的指纹识别工具）

二、漏洞发现

在这个阶段我们在做测试的时候要对症下药，不能盲目的去扫描，首先要确定目标应用是否使用的是公开的开源软件，开源框架等、然后在做深一度的漏洞扫描。

关于开源软件的漏洞发现

开源的软件：常见的开源软件有wordpress、phpbb、dedecms等

开源的框架：常见的开源框架有Struts2、 Spring MVC、ThinkPHP等

中间件服务器：常见的中间件服务器有jboss、tomcat、Weblogic等

数据库服务：常见的数据库服务mssql、mysql、oracle、redis、sybase、MongoDB、DB2等

对于开源软件的测试方法

1 通过指纹识别软件判断开源软件的版本信息，针对不同的版本信息去开放的漏洞数据库查找相应版本的漏洞进行测试

2 对于默认的后台登录页、数据库服务端口认证等入口可以进行简单的暴力破解、默认口令尝试等 *** 作

3 使用开源的漏洞发现工具对其进行漏洞扫描，如：WPScan

关于自主开发的应用

手动测试：这个阶段，我们需要手工测试所有与用户交互的功能，比如：留言、登入、下单、退出、退货、付款等 *** 作

软件扫描：使用免费的软件扫描，如：appscan、wvs、netsparker，burp等

可能存在的漏洞

Owasp关键点

代码安全之上传文件

代码安全之文件包含

代码安全之SSRF

逻辑漏洞之密码重置

逻辑漏洞之支付漏洞

逻辑漏洞之越权访问

平台安全之中间件安全

三、漏洞利用

针对不同的弱点有不同的漏洞利用方式，需要的知识点也比较多。一般这个阶段包括两种方式，一种是手工测试，一种是工具测试

手工测试

手工测试是通过客户端或服务器访问目标服务，手工向目标程序发送特殊的数据，包括有效的和无效的输入，观察目标的状态、对各种输入的反应，根据结果来发现问题的漏洞检测技术。手工测试不需要额外的辅助工具，可由测试者独立完成，实现起来比较简单。但这种方法高度依赖于测试者，需要测试者对目标比较了解。手工测试可用于Web应用程序、浏览器及其他需要用户交互的程序。

这种方式对于有特殊过滤等 *** 作，或者网络上没有成型的利用工具的时候可以使用。

工具测试

网络上有很多好用的免费利用工具，比如针对sql注入的sqlmap、针对软件漏洞的matesploit等。

渗透测试需要的基础技能必须有网络基础、编程基础、数据库基础、 *** 作系统等基本技能。学习的话可以从html、css、js、编程语言、协议包分析、网络互联原理、数据库语法等进入，学习了这些基础技能之后，就可以进行渗透测试的深入学习了，如web方面的学习OWASP TOP 10漏洞挖掘、主机系统服务漏洞检测、App漏洞检测、内网渗透等方面，最后当然是能够编写渗透测试报告啦。

1无论什么站，无论什么语言，我要渗透，第一件事就是扫目录，最好一下扫出个上传点，直接上传shell，诸位不要笑，有时候你花很久搞一个站，最后发现有个现成的上传点，而且很容易猜到，不过这种情况发生在asp居多！

2asp（aspx）+MSSQL先考虑注入，一般的注入都有DBowner权限可以直接写shell；如果写不了，或者web与数据库分离，那就猜数据，从后台下手了，后台可以上传或者改配置文件；

3asp（aspx）+ACCESS拿shell一般只有3种方法，一是前台上传或者注入进后台上传；二是注入进后台改配置文件；三是注入进后台备份数据库或者暴库后知道是asp或者asa数据库于是直接写一句话；

4php+MYSQL一般是注入进后台上传，偶尔运气好些权限够高可以注入select into outfile；然后包含，分本地与远程，远程包含在高版本php是不支持的，于是想办法本地上传文件或者写到log里；然后php程序某某未公开的漏洞，运气好可以直接写shell。

5jsp+MYSQL利用数据库拿权限方面基本同php，而且jsp的上传基本很少检查文件后缀，于是只要有注入点与后台，拿shell相当的容易。jsp+ORACLE的站我碰到的不多，碰到的也是猜出用户名与密码从后台下手的。

6无论什么大站，主站一般都很安全（不然早被人玩了），于是一般从二级域名下手，猜出主站的某些用户名与密码或者搞到主站的源代码，或者旁注得到同网段服务器后cain或arp。

7一般的大站很少有用现成的CMS的，于是如果你有幸找到源码，那你就发了，注入漏洞啊，上传漏洞啊，写文件漏洞啊，都掌握在你手里。多看看那些大站新出来的测试分站点，那些站还在测试中，可以很轻松拿下。

8上传有个文件名截断，这包括2个方面，一是00截断，二是长文件名截断（曾经利用这个搞下hw）；然后很多写文件的地方，都可以00，屡试不爽。上传别忘了asp（当然asa，cer，cdx都可以啦）目录的妙用。

9php站无论windows还是linux，都有magic_quotes_gpc的问题，magic_quotes_gpc为on的时候，在server变量注入的时候还是可以select into outfile，今年我搞过某未开源cms就是这个情况，一般情况下为on就别考虑写文件了，不过有这个权限别忘了读文件源码，因为load_file的参数是可以编码的。

10猜路径或者文件在入侵中非常必要，猜不到路径的时候别忘了google（baidu太烂，google很全），于是你可以考虑看站点下的robottxt或者robotstxt，会有惊喜。

11工具的使用很重要，入侵之前用WVS扫扫会有助入侵；注入工具虽然很多，但不见得都好使，现在的软硬防火墙、防注入越来越厉害，那时候你就别偷懒，多手工有助你成长。

12遇到过一流监控么，遇到其他防post的防火墙么，有时候一句话进去了都无法传大马，那时候，你先学学编码，学学变换绕过。

13想搞一般的小站，记得查看这个小站的版权，找做这个站的公司，然后从这个公司做的其他站下手，得到源码再回头搞，我曾经通过这个方法拿下某知名制药的公司站。

14旁注的思路永远不过时，遇到dbowner的注入，可以很舒服写shell到你需要的站，省得麻烦的提权了；运气不好，按部就班拿shell提权得到你所需。

15永远别忘记社会工程学，利用社工把自己当成一个什么也不会的人，从某某站长的qq，身份z，邮箱等等下手，也许有时可能会有意外；另外别忘记admin,admin；test,test；123456,123456这种简单的尝试，当然，你也可以暴力破解。

16别忽视XSS，别忽视cookie，XSS可以偷cookie，更有若干妙用，自己学会领悟；cookie可以伪造登陆，cookie可以注入，cookie注入可以绕绝大多数的防火墙。

17平时搞站多多搜集路径啊，源码啊，工具啊，充实自己的“武器”库；最好把自己的入侵步骤记录下来，或者事后反思下，我一般都是记在txt里，另外要做到举一反三。

18多学习，多看源码，多看公布出来的0day，脚本是入侵的前提，而不是工具，会用工具会装B你还没入门。

最后奉劝诸位有事没事改人家首页的装B者，出来混，迟早是要还的，别等进了局子再后悔。还有一点，就是我搞N多站，没挂过一个马，至于很多挂马的人，我不知道该说什么，因为大家都喜欢钱，但是还是少为之吧。

01、信息收集

1、域名、IP、端口

域名信息查询：信息可用于后续渗透

IP信息查询：确认域名对应IP，确认IP是否真实，确认通信是否正常

端口信息查询：NMap扫描，确认开放端口

发现：一共开放两个端口，80为web访问端口，3389为windows远程登陆端口，嘿嘿嘿，试一下

发现：是Windows Server 2003系统，OK，到此为止。

2、指纹识别

其实就是网站的信息。比如通过可以访问的资源，如网站首页，查看源代码:

看看是否存在文件遍历的漏洞（如路径，再通过…/遍历文件）

是否使用了存在漏洞的框架（如果没有现成的就自己挖）

02、漏洞扫描

1、主机扫描

Nessus

经典主机漏扫工具，看看有没有CVE漏洞：

2、Web扫描

AWVS（Acunetix | Website Security Scanner）扫描器

PS：扫描器可能会对网站构成伤害，小心谨慎使用。

03、渗透测试

1、弱口令漏洞

漏洞描述

目标网站管理入口（或数据库等组件的外部连接）使用了容易被猜测的简单字符口令、或者是默认系统账号口令。

渗透测试

① 如果不存在验证码，则直接使用相对应的弱口令字典使用burpsuite 进行爆破

② 如果存在验证码，则看验证码是否存在绕过、以及看验证码是否容易识别

风险评级：高风险

安全建议

① 默认口令以及修改口令都应保证复杂度，比如：大小写字母与数字或特殊字符的组合，口令长度不小于8位等

② 定期检查和更换网站管理口令

2、文件下载（目录浏览）漏洞

漏洞描述

一些网站由于业务需求，可能提供文件查看或下载的功能，如果对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意的文件，可以是源代码文件、敏感文件等。

渗透测试

① 查找可能存在文件包含的漏洞点，比如js，css等页面代码路径

② 看看有没有文件上传访问的功能

③ 采用…/来测试能否夸目录访问文件

风险评级：高风险

安全建议

① 采用白名单机制限制服务器目录的访问，以及可以访问的文件类型(小心被绕过)

② 过滤/等特殊字符

③ 采用文件流的访问返回上传文件（如用户头像），不要通过真实的网站路径。

示例：tomcat，默认关闭路径浏览的功能：

<param-name>listings</param-name>

<param-value>false</param-value>

3、任意文件上传漏洞

漏洞描述

目标网站允许用户向网站直接上传文件，但未对所上传文件的类型和内容进行严格的过滤。

渗透测试

① 收集网站信息，判断使用的语言（PHP，ASP，JSP）

② 过滤规则绕过方法：文件上传绕过技巧

风险评级：高风险

安全建议

① 对上传文件做有效文件类型判断，采用白名单控制的方法，开放只允许上传的文件型式；

② 文件类型判断，应对上传文件的后缀、文件头、类的预览图等做检测来判断文件类型，同时注意重命名（Md5加密）上传文件的文件名避免攻击者利用WEB服务的缺陷构造畸形文件名实现攻击目的；

③ 禁止上传目录有执行权限；

④ 使用随机数改写文件名和文件路径，使得用户不能轻易访问自己上传的文件。

4、命令注入漏洞

漏洞描述

目标网站未对用户输入的字符进行特殊字符过滤或合法性校验，允许用户输入特殊语句，导致各种调用系统命令的web应用，会被攻击者通过命令拼接、绕过黑名单等方式，在服务端运行恶意的系统命令。

渗透测试

风险评级：高风险

安全建议

① 拒绝使用拼接语句的方式进行参数传递；

② 尽量使用白名单的方式（首选方式）；

③ 过滤危险方法、特殊字符，如：|&；’"等

5、SQL注入漏洞

漏洞描述

目标网站未对用户输入的字符进行特殊字符过滤或合法性校验，允许用户输入特殊语句查询后台数据库相关信息

渗透测试

① 手动测试：判断是否存在SQL注入，判断是字符型还是数字型，是否需要盲注

② 工具测试：使用sqlmap等工具进行辅助测试

风险评级：高风险

安全建议

① 防范SQL注入攻击的最佳方式就是将查询的逻辑与其数据分隔，如Java的预处理，PHP的PDO

② 拒绝使用拼接SQL的方式

6、跨站脚本漏洞

漏洞描述

当应用程序的网页中包含不受信任的、未经恰当验证或转义的数据时，或者使用可以创建 HTML或JavaScript 的浏览器 API 更新现有的网页时，就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本，并劫持用户会话、破坏网站或将用户重定向到恶意站点。

三种XSS漏洞：

① 存储型：用户输入的信息被持久化，并能够在页面显示的功能，都可能存在存储型XSS，例如用户留言、个人信息修改等。

② 反射型：URL参数需要在页面显示的功能都可能存在反射型跨站脚本攻击，例如站内搜索、查询功能。

③ DOM型：涉及DOM对象的页面程序，包括：documentURL、documentlocation、documentreferrer、windowlocation等

渗透测试

存储型，反射型，DOM型

风险评级：高风险

安全建议

① 不信任用户提交的任何内容，对用户输入的内容，在后台都需要进行长度检查，并且对<>"’&等字符做过滤

② 任何内容返回到页面显示之前都必须加以html编码，即将<>"’&进行转义。

7、跨站请求伪造漏洞

漏洞描述

CSRF，全称为Cross-Site Request Forgery，跨站请求伪造，是一种网络攻击方式，它可以在用户毫不知情的情况下，以用户的名义伪造请求发送给被攻击站点，从而在未授权的情况下进行权限保护内的 *** 作，如修改密码，转账等。

渗透测试

风险评级：中风险（如果相关业务极其重要，则为高风险）

安全建议

① 使用一次性令牌：用户登录后产生随机token并赋值给页面中的某个Hidden标签，提交表单时候，同时提交这个Hidden标签并验证，验证后重新产生新的token，并赋值给hidden标签；

② 适当场景添加验证码输入：每次的用户提交都需要用户在表单中填写一个上的随机字符串；

③ 请求头Referer效验，url请求是否前部匹配>

以上就是关于如何进行Web渗透测试全部的内容，包括:如何进行Web渗透测试、渗透测试学习些啥呀、入侵aspx站要用什么方法呢等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！