Day-162-应用安全评估实战

# Day 176: 应用安全评估实战

> 综合实战系列第 1 天 | 预计阅读时间：50 分钟 | 难度：★★★★★

---

## 清单 目录

1. [应用安全评估概述](#应用安全评估概述)
2. [评估框架与方法论](#评估框架与方法论)
3. [信息收集与资产发现](#信息收集与资产发现)
4. [威胁建模](#威胁建模)
5. [漏洞扫描与检测](#漏洞扫描与检测)
6. [手动渗透测试](#手动渗透测试)
7. [代码安全审计](#代码安全审计)
8. [配置安全审查](#配置安全审查)
9. [风险评估与定级](#风险评估与定级)
10. [报告编写与交付](#报告编写与交付)
11. [修复验证与复测](#修复验证与复测)
12. [实战案例分析](#实战案例分析)
13. [总结与思考](#总结与思考)
14. [参考资料](#参考资料)

---

## 应用安全评估概述

### 定义与目标

应用安全评估（Application Security Assessment）是对应用程序进行全面的安全检查，识别潜在的安全漏洞和风险，并提供修复建议的系统性过程。

**核心目标**：

```
1. 识别安全风险
   ✓ 发现已知漏洞
   ✓ 识别配置缺陷
   ✓ 发现逻辑漏洞
   ✓ 评估安全控制有效性

2. 评估风险等级
   ✓ 量化风险影响
   ✓ 确定修复优先级
   ✓ 支持资源分配决策

3. 提供修复指导
   ✓ 给出具体修复方案
   ✓ 提供最佳实践建议
   ✓ 支持安全能力建设

4. 满足合规要求
   ✓ 等保 2.0 要求
   ✓ 行业监管要求
   ✓ 客户安全要求
```

### 评估类型

**按评估深度分类**：

```
┌─────────────────────────────────────────────────────────────┐
│                    应用安全评估类型                          │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  1. 快速评估 (Quick Assessment)                             │
│     - 时间：1-3 天                                          │
│     - 范围：核心功能、高危漏洞                              │
│     - 方法：自动化扫描 + 关键手动测试                       │
│     - 适用：迭代快速检查、上线前验证                        │
│                                                             │
│  2. 标准评估 (Standard Assessment)                          │
│     - 时间：1-2 周                                          │
│     - 范围：全部功能、OWASP Top 10                          │
│     - 方法：自动化 + 手动测试结合                           │
│     - 适用：常规安全评估、版本发布                          │
│                                                             │
│  3. 深度评估 (Deep Assessment)                              │
│     - 时间：2-4 周                                          │
│     - 范围：全功能 + 代码审计 + 架构审查                    │
│     - 方法：全方位测试 + 代码分析 + 配置审查                │
│     - 适用：核心系统、金融系统、首次评估                    │
│                                                             │
│  4. 红队评估 (Red Team Assessment)                          │
│     - 时间：4-8 周                                          │
│     - 范围：全系统 + 社工 + 物理安全                        │
│     - 方法：模拟真实攻击、无通知测试                        │
│     - 适用：高级威胁模拟、安全能力验证                      │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**按测试方式分类**：

| 类型 | 说明 | 优点 | 缺点 |
|------|------|------|------|
| 黑盒测试 | 无内部信息，模拟外部攻击者 | 贴近真实攻击场景 | 效率较低，可能遗漏 |
| 灰盒测试 | 有部分内部信息（如账号） | 平衡效率与真实性 | 需要协调资源 |
| 白盒测试 | 有完整内部信息（代码、架构） | 覆盖全面，效率高 | 与真实攻击场景有差距 |

### 评估生命周期

```
应用安全评估生命周期：

┌──────────────────────────────────────────────────────────────────┐
│                                                                  │
│  准备阶段 → 执行阶段 → 报告阶段 → 修复阶段 → 验证阶段            │
│     ↓          ↓          ↓          ↓          ↓               │
│  • 范围定义  • 信息收集  • 报告编写  • 修复指导  • 复测验证      │
│  • 授权获取  • 威胁建模  • 风险定级  • 方案评审  • 回归测试      │
│  • 环境准备  • 漏洞检测  • 交付汇报  • 修复实施  • 关闭确认      │
│  • 工具准备  • 手动测试  • 建议提供  • 进度跟踪  • 经验总结      │
│                                                                  │
└──────────────────────────────────────────────────────────────────┘
```

---

## 评估框架与方法论

### 主流评估框架

**1. OWASP 测试指南 (OTG)**

OWASP Testing Guide 是最广泛应用的安全测试框架，提供全面的测试项。

```
OWASP OTG 核心模块：

┌─────────────────────────────────────────────────────────┐
│  模块 1: 信息收集 (OTG-INFO)                            │
│  ├── OTG-INFO-001: 搜索引擎侦察                         │
│  ├── OTG-INFO-002: 指纹识别                             │
│  ├── OTG-INFO-003: 应用指纹识别                         │
│  └── ... (共 11 项)                                     │
│                                                         │
│  模块 2: 配置管理 (OTG-CONFIG)                          │
│  ├── OTG-CONFIG-001: 基础设施配置                       │
│  ├── OTG-CONFIG-002: 应用配置                           │
│  └── ... (共 6 项)                                      │
│                                                         │
│  模块 3: 身份管理 (OTG-IDENT)                           │
│  ├── OTG-IDENT-001: 用户枚举                            │
│  ├── OTG-IDENT-002: 默认凭证                            │
│  └── ... (共 10 项)                                     │
│                                                         │
│  模块 4: 认证测试 (OTG-AUTHN)                           │
│  ├── OTG-AUTHN-001: 弱密码策略                          │
│  ├── OTG-AUTHN-002: 暴力破解                            │
│  └── ... (共 11 项)                                     │
│                                                         │
│  模块 5: 授权测试 (OTG-AUTHZ)                           │
│  ├── OTG-AUTHZ-001: 垂直权限提升                        │
│  ├── OTG-AUTHZ-002: 水平权限提升                        │
│  └── ... (共 9 项)                                      │
│                                                         │
│  模块 6: 会话管理 (OTG-SESS)                            │
│  模块 7: 输入验证 (OTG-INPUT)                           │
│  模块 8: 错误处理 (OTG-ERROR)                           │
│  模块 9: 加密 (OTG-CRYPTO)                              │
│  模块 10: 业务逻辑 (OTG-BUSINESS)                       │
│  模块 11: 客户端 (OTG-CLIENT)                           │
│                                                         │
│  总计：83 项测试                                        │
└─────────────────────────────────────────────────────────┘
```

**2. PTES 渗透测试执行标准**

Penetration Testing Execution Standard 提供标准化的渗透测试流程。

```
PTES 七个阶段：

1. 前期交互 (Pre-engagement Interactions)
   - 范围定义
   - 规则制定
   - 授权获取

2. 情报收集 (Intelligence Gathering)
   - 被动信息收集
   - 主动信息收集
   - 资产发现

3. 威胁建模 (Threat Modeling)
   - 资产识别
   - 威胁识别
   - 攻击路径分析

4. 漏洞分析 (Vulnerability Analysis)
   - 自动化扫描
   - 手动验证
   - 漏洞确认

5. 漏洞利用 (Exploitation)
   - 利用开发
   - 权限获取
   - 横向移动

6. 后渗透 (Post Exploitation)
   - 权限维持
   - 数据收集
   - 影响评估

7. 报告 (Reporting)
   - 技术报告
   - 管理报告
   - 修复建议
```

**3. NIST SP 800-115**

NIST 提供的技术安全测试和评估指南。

```
NIST SP 800-115 测试类型：

┌────────────────────────────────────────────────────┐
│  测试类型              │  适用场景                │
├────────────────────────────────────────────────────┤
│  网络扫描              │  发现主机、端口、服务    │
│  漏洞扫描              │  识别已知漏洞            │
│  渗透测试              │  验证漏洞可利用性        │
│  无线测试              │  评估无线网络安全        │
│  物理安全测试          │  评估物理控制措施        │
│  社会工程学测试        │  评估人员安全意识        │
│  应用程序测试          │  评估应用层安全          │
└────────────────────────────────────────────────────┘
```

### 评估方法论选择

**基于场景的选择**：

```
决策矩阵：

│ 时间紧 │ 要求高 │ 预算足 │ 合规需求 │
────────────────────┼────────┼────────┼────────┼──────────┤
快速评估            │   ✓    │   ✗    │   ✗    │    ✗     │
标准评估            │   ✗    │   ✓    │   ✓    │    ✓     │
深度评估            │   ✗    │   ✓✓   │   ✓✓   │    ✓✓    │
红队评估            │   ✗    │   ✓✓✓  │   ✓✓✓  │    ✗     │
```

**我的建议**：

对于大多数企业应用，我推荐采用**标准评估 + 关键模块深度测试**的混合方法：

1. 使用 OWASP OTG 作为基础框架
2. 对核心业务模块进行深度测试
3. 对高风险功能（支付、认证、数据导出）进行重点测试
4. 结合自动化和手动测试，平衡效率与质量

---

## 信息收集与资产发现

### 信息收集范围

**1. 域名与子域名**

```bash
# 使用 Subfinder 进行子域名枚举
subfinder -d target.com -o subdomains.txt

# 使用 Amass 进行深度枚举
amass enum -d target.com -o amass_results.txt

# 使用 OneForAll 进行综合收集
python oneforall.py --target target.com run
```

**2. IP 地址与网段**

```bash
# 查询域名对应的 IP
dig target.com +short
nslookup target.com

# 查询 IP 归属信息
whois 1.2.3.4

# 查询 IP 段
whois -h whois.apnic.net 1.2.3.4
```

**3. 端口与服务**

```bash
# 快速端口扫描
nmap -sS -T4 --top-ports 1000 target.com

# 全面端口扫描
nmap -sS -p- -T4 target.com

# 服务版本检测
nmap -sV -sC -O target.com

# 漏洞扫描脚本
nmap --script vuln target.com
```

**4. Web 应用信息**

```bash
# 目录扫描
gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt

# 子域名扫描
gobuster dns -d target.com -w /usr/share/wordlists/subdomains.txt

# 技术栈识别
whatweb target.com

# WAF 检测
wafw00f https://target.com
```

### 资产发现工具链

**推荐工具组合**：

```
┌─────────────────────────────────────────────────────────────┐
│                    资产发现工具链                           │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  阶段 1: 域名发现                                           │
│  ├── Subfinder (快速)                                       │
│  ├── Amass (全面)                                           │
│  └── OneForAll (综合)                                       │
│                                                             │
│  阶段 2: 存活检测                                           │
│  ├── httpx (Web 资产)                                       │
│  ├── masscan (端口扫描)                                     │
│  └── naabu (快速扫描)                                       │
│                                                             │
│  阶段 3: 服务识别                                           │
│  ├── Nmap (详细)                                            │
│  ├── WhatWeb (技术栈)                                       │
│  └── Wappalyzer (浏览器插件)                                │
│                                                             │
│  阶段 4: 漏洞初筛                                           │
│  ├── nuclei (模板扫描)                                      │
│  ├── Xray (被动扫描)                                        │
│  └── AWVS/Burp (主动扫描)                                   │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 自动化信息收集脚本

我编写了一个自动化信息收集脚本：

```bash
#!/bin/bash
# recon.sh - 自动化信息收集脚本

TARGET=$1
OUTPUT_DIR="./recon_${TARGET}_$(date +%Y%m%d)"

mkdir -p $OUTPUT_DIR

echo "[*] 开始对 $TARGET 进行信息收集"

# 1. 子域名枚举
echo "[*] 子域名枚举..."
subfinder -d $TARGET -o $OUTPUT_DIR/subdomains.txt 2>/dev/null

# 2. 存活检测
echo "[*] 检测存活主机..."
cat $OUTPUT_DIR/subdomains.txt | httpx -silent -o $OUTPUT_DIR/live_hosts.txt

# 3. 技术栈识别
echo "[*] 识别技术栈..."
cat $OUTPUT_DIR/live_hosts.txt | whatweb -a 0 -o $OUTPUT_DIR/tech_stack.txt

# 4. 端口扫描
echo "[*] 端口扫描..."
nmap -sS -T4 --top-ports 1000 -oN $OUTPUT_DIR/port_scan.txt $TARGET

# 5. 目录扫描
echo "[*] 目录扫描..."
while read host; do
    gobuster dir -u $host -w /usr/share/wordlists/dirb/common.txt \
        -o $OUTPUT_DIR/gobuster_$(echo $host | sed 's/\//_/g').txt 2>/dev/null
done < $OUTPUT_DIR/live_hosts.txt

# 6. 漏洞初筛
echo "[*] 漏洞初筛..."
nuclei -l $OUTPUT_DIR/live_hosts.txt -o $OUTPUT_DIR/nuclei_results.txt

echo "[*] 信息收集完成，结果保存在 $OUTPUT_DIR"
```

---

## 威胁建模

### STRIDE 威胁建模

**STRIDE 分类**：

```
┌─────────────────────────────────────────────────────────────┐
│                    STRIDE 威胁分类                          │
├──────────┬──────────────────────────────────────────────────┤
│ 威胁类型 │ 说明与示例                                       │
├──────────┼──────────────────────────────────────────────────┤
│ S        │ 欺骗 (Spoofing)                                  │
│          │ - 伪造用户身份                                   │
│          │ - 伪造系统组件                                   │
│          │ - 示例：密码爆破、会话劫持                       │
├──────────┼──────────────────────────────────────────────────┤
│ T        │ 篡改 (Tampering)                                 │
│          │ - 恶意修改数据                                   │
│          │ - 恶意修改代码                                   │
│          │ - 示例：SQL 注入、参数篡改                        │
├──────────┼──────────────────────────────────────────────────┤
│ R        │ 抵赖 (Repudiation)                               │
│          │ - 否认已执行的操作                               │
│          │ - 缺乏审计日志                                   │
│          │ - 示例：无日志的敏感操作                         │
├──────────┼──────────────────────────────────────────────────┤
│ I        │ 信息泄露 (Information Disclosure)                │
│          │ - 未授权访问敏感信息                             │
│          │ - 数据泄露                                       │
│          │ - 示例：越权访问、敏感信息明文传输               │
├──────────┼──────────────────────────────────────────────────┤
│ D        │ 拒绝服务 (Denial of Service)                     │
│          │ - 使服务不可用                                   │
│          │ - 消耗系统资源                                   │
│          │ - 示例：DDoS 攻击、资源耗尽                       │
├──────────┼──────────────────────────────────────────────────┤
│ E        │ 权限提升 (Elevation of Privilege)                │
│          │ - 获取更高权限                                   │
│          │ - 绕过访问控制                                   │
│          │ - 示例：垂直/水平越权、本地提权                  │
└──────────┴──────────────────────────────────────────────────┘
```

### 数据流图 (DFD) 分析

**绘制数据流图步骤**：

```
1. 识别外部实体
   - 用户
   - 第三方系统
   - 外部 API

2. 识别处理过程
   - 认证服务
   - 业务逻辑处理
   - 数据存储

3. 识别数据存储
   - 数据库
   - 文件系统
   - 缓存

4. 识别数据流
   - 用户输入
   - 系统输出
   - 内部数据传输

5. 标注信任边界
   - 网络边界
   - 应用边界
   - 权限边界
```

**示例：电商系统 DFD**：

```
┌─────────────────────────────────────────────────────────────┐
│                    电商系统数据流图                         │
│                                                             │
│    ┌─────────┐                                              │
│    │  用户   │                                              │
│    └────┬────┘                                              │
│         │ 信任边界                                          │
│    ─────┼──────────────────────────────────────────────     │
│         │                                                   │
│    ┌────▼────┐     ┌───────────┐     ┌───────────┐         │
│    │ Web 前端 │────▶│ API 网关  │────▶│ 业务服务  │         │
│    └─────────┘     └───────────┘     └─────┬─────┘         │
│                                           │                 │
│                                      ┌────▼────┐           │
│                                      │ 数据库  │           │
│                                      └─────────┘           │
│                                                             │
│  威胁分析：                                                 │
│  • 用户→Web 前端：XSS、CSRF、钓鱼                          │
│  • Web 前端→API 网关：中间人攻击、重放攻击                 │
│  • API 网关→业务服务：认证绕过、权限提升                   │
│  • 业务服务→数据库：SQL 注入、数据泄露                     │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 攻击树分析

**攻击树示例：获取管理员权限**：

```
获取管理员权限
├── 暴力破解管理员密码
│   ├── 在线爆破
│   └── 离线破解（获取哈希后）
├── 利用漏洞提权
│   ├── SQL 注入获取管理员会话
│   ├── XSS 窃取管理员 Cookie
│   └── 文件上传获取 WebShell
├── 社会工程学
│   ├── 钓鱼邮件
│   └── 电话诈骗
└── 内部人员
    ├── 恶意员工
    └── 被收买员工
```

---

## 漏洞扫描与检测

### 自动化扫描工具

**1. Web 漏洞扫描器**

```bash
# AWVS (Acunetix)
# 创建扫描任务
curl -X POST "https://scanner:3443/api/v1/scans" \
  -H "X-Auth: api_key" \
  -H "Content-Type: application/json" \
  -d '{
    "address": "https://target.com",
    "profile_id": "11111111-1111-1111-1111-111111111111",
    "schedule": {"disable": false, "start_date": null, "time_sensitive": false}
  }'

# Burp Suite Professional
# 使用 REST API 启动扫描
curl -X POST "http://127.0.0.1:1337/v0.1/scan" \
  -H "Content-Type: application/json" \
  -d '{
    "urls": ["https://target.com"],
    "scan_configurations": [{"name": "Legacy Scan Configuration"}]
  }'
```

**2. 漏洞扫描器 Nuclei**

```bash
# 基础扫描
nuclei -u https://target.com -o results.txt

# 使用特定模板
nuclei -u https://target.com -t vulnerabilities/ -o vulns.txt

# 按严重程度过滤
nuclei -u https://target.com -s critical,high -o critical_vulns.txt

# 批量扫描
nuclei -l targets.txt -t exposures/ -o exposures.txt

# 自定义速率
nuclei -u https://target.com -rate-limit 10 -concurrency 5
```

**3. Xray 被动扫描**

```bash
# 作为反向代理
./xray_linux_amd64 --http-reverse-proxy 127.0.0.1:7777 --output output.txt

# 配合 Burp
# Burp 代理设置为 xray 的监听端口
# xray 接收流量进行被动扫描
```

### 手动漏洞检测

**1. SQL 注入检测**

```
测试 payload：

# 基础检测
' OR '1'='1
" OR "1"="1
' OR 1=1--
" OR 1=1--

# 盲注检测
' AND 1=1--
' AND 1=2--
' AND SLEEP(5)--

# 时间盲注
'; WAITFOR DELAY '0:0:5'--
' AND BENCHMARK(10000000,SHA1('test'))--

# 报错注入
' AND EXTRACTVALUE(1,CONCAT(0x7e,(SELECT version())))--
```

**2. XSS 检测**

```
测试 payload：

# 基础检测
<script>alert(1)</script>
"><script>alert(1)</script>
'><script>alert(1)</script>

# 绕过检测
<svg/onload=alert(1)>
<img src=x onerror=alert(1)>
<body onload=alert(1)>
javascript:alert(1)

# DOM XSS
#console.log('XSS')
#alert(1)
```

**3. 文件上传漏洞检测**

```
测试方法：

1. 扩展名绕过
   - 上传 .php、.jsp、.aspx
   - 尝试 .php5、.phtml、.phar
   - 尝试 .jpg.php、.png.php

2. MIME 类型绕过
   - 修改 Content-Type 为 image/jpeg
   - 上传真实图片内容 + 恶意代码

3. 魔术字节绕过
   - GIF89a; <?php system($_GET['cmd']); ?>

4. 截断绕过
   - filename.php%00.jpg
   - filename.php\x00.jpg
```

**4. 命令注入检测**

```
测试 payload：

# Linux
; id
| id
$(id)
`id`
; cat /etc/passwd
| whoami

# Windows
& whoami
| whoami
%whoami%
&& whoami
```

### 漏洞验证流程

```
漏洞验证流程：

1. 初步发现
   └── 自动化工具报告潜在漏洞

2. 手工验证
   ├── 确认漏洞存在
   ├── 排除误报
   └── 记录复现步骤

3. 影响评估
   ├── 确定影响范围
   ├── 评估可利用性
   └── 判断危害程度

4. 证据收集
   ├── 截图
   ├── 请求/响应包
   └── 复现视频（必要时）

5. 风险定级
   └── 使用 CVSS 或自定义标准
```

---

## 手动渗透测试

### 认证测试

**1. 密码策略测试**

```
测试项：

□ 最小长度要求（应≥8 位）
□ 复杂度要求（大小写 + 数字 + 特殊字符）
□ 密码历史（防止重复使用）
□ 密码有效期（定期更换）
□ 常见密码黑名单
□ 用户名相关密码检测
```

**2. 暴力破解防护**

```bash
# 使用 Hydra 测试
hydra -l admin -P /usr/share/wordlists/rockyou.txt target.com http-post-form "/login:username=^USER^&password=^PASS^:Invalid"

# 使用 Burp Intruder
# 配置 payload 位置
# 选择攻击模式（Sniper/Battering Ram/Pitchfork/Cluster Bomb）
# 设置 payload 列表
# 分析响应差异
```

**3. 会话管理测试**

```
测试项：

□ Session ID 熵值（应足够随机）
□ Session 超时设置
□ 登出后 Session 失效
□ 多设备 Session 管理
□ Session 固定攻击防护
□ Cookie 安全标志（HttpOnly、Secure、SameSite）
```

### 授权测试

**1. 垂直越权测试**

```
测试方法：

1. 低权限用户访问高权限功能
   - 普通用户访问 /admin
   - 普通用户调用管理员 API

2. 修改请求参数
   - 修改 user_id 为管理员 ID
   - 修改 role 参数

3. 直接访问受限 URL
   - 枚举管理功能 URL
   - 尝试直接访问
```

**2. 水平越权测试**

```
测试方法：

1. 访问其他用户数据
   - 修改订单 ID 查看他人订单
   - 修改用户 ID 查看他人信息

2. 批量枚举
   - 遍历 ID 范围
   - 检测是否存在批量泄露

3. 业务逻辑绕过
   - 跳过流程步骤
   - 重复提交表单
```

### 业务逻辑漏洞测试

**常见业务逻辑漏洞**：

```
1. 价格篡改
   - 修改商品价格为负数或 0
   - 修改支付金额
   - 修改折扣比例

2. 数量篡改
   - 购买负数数量
   - 购买超大数量
   - 修改库存数量

3. 流程绕过
   - 跳过支付步骤
   - 跳过验证步骤
   - 重放已完成的请求

4. 竞争条件
   - 并发提交订单
   - 并发修改余额
   - 重复领取优惠券

5. 状态依赖
   - 未支付状态下发货
   - 已退款状态下再次退款
   - 已注销账号继续使用
```

**竞争条件测试示例**：

```python
#!/usr/bin/env python3
# race_condition_test.py

import requests
import threading
import time

TARGET_URL = "https://target.com/api/transfer"
AUTH_TOKEN = "your_auth_token"
AMOUNT = 100
THREADS = 20

def transfer():
    headers = {"Authorization": f"Bearer {AUTH_TOKEN}"}
    data = {"to_account": "attacker", "amount": AMOUNT}
    response = requests.post(TARGET_URL, headers=headers, json=data)
    print(f"Response: {response.status_code} - {response.text}")

# 并发发送请求
threads = []
for i in range(THREADS):
    t = threading.Thread(target=transfer)
    threads.append(t)

# 同时启动所有线程
for t in threads:
    t.start()

# 等待所有线程完成
for t in threads:
    t.join()

print(f"完成！共发送 {THREADS} 个请求，每个请求转账 {AMOUNT}")
```

---

## 代码安全审计

### 审计方法

**1. 静态分析 (SAST)**

```
工具选择：

┌─────────────────────────────────────────────────────┐
│  语言      │  推荐工具                             │
├─────────────────────────────────────────────────────┤
│  Java      │  SonarQube, FindSecBugs, SpotBugs     │
│  Python    │  Bandit, Semgrep, SonarQube           │
│  JavaScript│  ESLint (security), SonarQube, Semgrep│
│  Go        │  Gosec, SonarQube                     │
│  PHP       │  RIPS, SonarQube, PHPStan             │
│  C/C++     │  Coverity, Fortify, Clang Static      │
│  .NET      │  SecurityCodeScan, SonarQube          │
└─────────────────────────────────────────────────────┘
```

**2. 动态分析 (DAST)**

```
工具选择：

- Burp Suite Professional
- OWASP ZAP
- AWVS (Acunetix)
- AppScan
```

**3. 交互式分析 (IAST)**

```
工具选择：

- Contrast Security
- Seeker (HCL)
- CodeDx
```

### 常见代码漏洞模式

**1. SQL 注入**

```java
// - 不安全 - 字符串拼接
String query = "SELECT * FROM users WHERE username = '" + username + "'";
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(query);

// + 安全 - 使用预编译语句
String query = "SELECT * FROM users WHERE username = ?";
PreparedStatement pstmt = connection.prepareStatement(query);
pstmt.setString(1, username);
ResultSet rs = pstmt.executeQuery();
```

**2. XSS**

```java
// - 不安全 - 直接输出用户输入
out.println("<div>" + userInput + "</div>");

// + 安全 - 进行 HTML 编码
out.println("<div>" + StringEscapeUtils.escapeHtml4(userInput) + "</div>");
```

**3. 命令注入**

```java
// - 不安全 - 直接拼接命令
String cmd = "ping " + userInput;
Runtime.getRuntime().exec(cmd);

// + 安全 - 使用参数化执行
ProcessBuilder pb = new ProcessBuilder("ping", userInput);
pb.start();
```

**4. 路径遍历**

```java
// - 不安全 - 直接使用用户输入
File file = new File("/uploads/" + filename);

// + 安全 - 验证并规范化路径
String canonicalPath = new File("/uploads/" + filename).getCanonicalPath();
if (!canonicalPath.startsWith("/uploads/")) {
    throw new SecurityException("Invalid path");
}
```

### 代码审计检查清单

```
□ 输入验证
  □ 所有外部输入是否验证
  □ 是否使用白名单验证
  □ 长度限制是否合理

□ 输出编码
  □ HTML 输出是否编码
  □ JavaScript 输出是否编码
  □ URL 参数是否编码

□ 认证与会话
  □ 密码是否加密存储
  □ 会话 ID 是否安全生成
  □ 会话超时是否合理

□ 访问控制
  □ 是否每个接口都验证权限
  □ 是否存在硬编码凭证
  □ 是否遵循最小权限原则

□ 数据保护
  □ 敏感数据是否加密存储
  □ 传输是否使用 HTTPS
  □ 日志是否脱敏

□ 错误处理
  □ 是否捕获异常
  □ 错误信息是否泄露敏感信息
  □ 是否有统一的错误处理

□ 依赖安全
  □ 依赖是否为最新版本
  □ 是否存在已知漏洞
  □ 是否从可信源获取
```

---

## 配置安全审查

### 服务器配置

**1. Web 服务器配置**

```nginx
# Nginx 安全配置示例

# 隐藏版本信息
server_tokens off;

# 安全响应头
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'" always;

# 禁用不安全方法
if ($request_method !~ ^(GET|HEAD|POST|PUT|DELETE|OPTIONS)$) {
    return 405;
}

# 限制请求大小
client_max_body_size 10M;

# SSL 配置
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
```

**2. 数据库配置**

```mysql
# MySQL 安全配置

# 禁用远程 root 登录
# 在 my.cnf 中：
[mysqld]
bind-address = 127.0.0.1
skip-symbolic-links
local-infile = 0

# 安全建议：
# ✓ 修改默认端口
# ✓ 删除测试数据库
# ✓ 删除匿名用户
# ✓ 使用强密码
# ✓ 限制用户权限
# ✓ 启用审计日志
```

### 应用配置

**1. 敏感信息保护**

```
- 不安全做法：
- 代码中硬编码密码
- 配置文件明文存储密钥
- 将密钥提交到版本控制
- 日志中打印敏感信息

+ 安全做法：
- 使用环境变量
- 使用密钥管理服务（KMS）
- 使用配置中心
- 日志脱敏
- .gitignore 排除敏感文件
```

**2. 安全配置检查清单**

```
□ 调试模式已关闭
□ 错误页面不显示详细信息
□ 目录列表已禁用
□ 默认账户已删除或修改密码
□ 不必要的服务已禁用
□ 防火墙规则已配置
□ 日志记录已启用
□ 备份策略已制定
□ 监控告警已配置
```

---

## 风险评估与定级

### CVSS 评分系统

**CVSS v3.1 指标**：

```
┌─────────────────────────────────────────────────────────────┐
│                    CVSS v3.1 指标                           │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  基础指标 (Base Metrics)                                    │
│  ├── 攻击向量 (AV): Network/Adjacent/Local/Physical        │
│  ├── 攻击复杂度 (AC): Low/High                             │
│  ├── 所需权限 (PR): None/Low/High                          │
│  ├── 用户交互 (UI): None/Required                          │
│  ├── 影响范围 (S): Unchanged/Changed                       │
│  ├── 机密性影响 (C): None/Low/High                         │
│  ├── 完整性影响 (I): None/Low/High                         │
│  └── 可用性影响 (A): None/Low/High                         │
│                                                             │
│  时间指标 (Temporal Metrics)                                │
│  ├── 利用代码成熟度 (E): Unproven/POC/Functional/High      │
│  ├── 修复级别 (RL): Official/Temporary/Unavailable         │
│  └── 报告置信度 (RC): Unknown/Reasonable/Confirmed         │
│                                                             │
│  环境指标 (Environmental Metrics)                           │
│  ├── 修正基础指标                                           │
│  └── 考虑特定环境因素                                       │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**风险等级划分**：

| CVSS 分数 | 等级 | 颜色 | 响应要求 |
|-----------|------|------|----------|
| 9.0-10.0 | 严重 | 红色 | 立即修复 |
| 7.0-8.9 | 高危 | 橙色 | 7 天内修复 |
| 4.0-6.9 | 中危 | 黄色 | 30 天内修复 |
| 0.1-3.9 | 低危 | 蓝色 | 酌情修复 |
| 0.0 | 信息 | 绿色 | 无需修复 |

### 业务风险调整

**考虑因素**：

```
1. 资产价值
   - 系统重要性
   - 数据敏感性
   - 业务影响

2. 威胁环境
   - 已知利用代码
   - 活跃攻击活动
   - 行业威胁情报

3. 暴露程度
   - 是否对外暴露
   - 访问控制强度
   - 网络隔离情况

4. 合规要求
   - 法规强制要求
   - 行业标准
   - 客户合同要求
```

**风险调整公式**：

```
最终风险 = CVSS 基础分 × 业务调整系数

业务调整系数：
- 核心系统：1.5
- 重要系统：1.2
- 一般系统：1.0
- 测试系统：0.8

对外暴露调整：
- 公网暴露：+2.0
- 内网暴露：+1.0
- 隔离环境：+0.5
```

---

## 报告编写与交付

### 报告结构

**1. 管理摘要**

```
执行摘要模板：

┌─────────────────────────────────────────────────────────────┐
│  项目概述                                                   │
│  ├── 评估目标                                               │
│  ├── 评估范围                                               │
│  └── 评估时间                                               │
│                                                             │
│  整体风险态势                                               │
│  ├── 发现漏洞总数                                           │
│  ├── 各等级漏洞分布                                         │
│  └── 整体安全评分                                           │
│                                                             │
│  关键发现                                                   │
│  ├── 最严重的 3-5 个漏洞                                    │
│  ├── 业务影响说明                                           │
│  └── 紧急修复建议                                           │
│                                                             │
│  总体建议                                                   │
│  ├── 短期措施（1 周内）                                      │
│  ├── 中期措施（1 月内）                                      │
│  └── 长期措施（持续改进）                                   │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**2. 技术报告**

```
单个漏洞报告模板：

┌─────────────────────────────────────────────────────────────┐
│  漏洞名称：SQL 注入漏洞                                      │
│  漏洞等级：高危                                              │
│  CVSS 评分：8.5                                              │
│  漏洞位置：/api/user/profile                                │
│                                                             │
│  漏洞描述                                                   │
│  [详细描述漏洞原理、位置、影响]                             │
│                                                             │
│  复现步骤                                                   │
│  1. 访问 URL: https://target.com/api/user/profile?id=1      │
│  2. 修改参数：id=1' OR '1'='1                               │
│  3. 观察响应：返回所有用户数据                              │
│                                                             │
│  证明截图                                                   │
│  [插入截图]                                                 │
│                                                             │
│  修复建议                                                   │
│  1. 使用预编译语句替代字符串拼接                            │
│  2. 对输入参数进行类型验证                                  │
│  3. 实施最小权限原则                                        │
│                                                             │
│  修复代码示例                                               │
│  [提供具体代码示例]                                         │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 报告交付

**交付物清单**：

```
□ 管理摘要报告（PPT/PDF）
□ 技术详细报告（PDF）
□ 漏洞清单（Excel/CSV）
□ 复现视频（必要时）
□ 修复建议文档
□ 原始扫描结果
□ 测试工具配置（可选）
```

**汇报流程**：

```
1. 首次汇报（发现阶段）
   - 汇报严重漏洞
   - 提供紧急修复建议
   - 时间：评估开始后 2-3 天

2. 中期汇报（可选）
   - 汇报整体进度
   - 更新风险态势
   - 时间：评估中期

3. 最终汇报
   - 完整报告交付
   - 漏洞演示（必要时）
   - 修复计划讨论
   - 时间：评估结束后 1 周内
```

---

## 修复验证与复测

### 验证流程

```
修复验证流程：

1. 接收修复通知
   └── 开发团队通知漏洞已修复

2. 审查修复方案
   ├── 审查代码变更
   ├── 评估修复完整性
   └── 识别潜在副作用

3. 执行复测
   ├── 使用相同方法复测
   ├── 使用不同方法验证
   └── 测试相关功能

4. 确认结果
   ├── 漏洞已修复 → 关闭
   ├── 部分修复 → 重新打开
   └── 修复失败 → 重新评估
```

### 复测检查清单

```
□ 原漏洞是否已修复
□ 是否存在绕过方法
□ 修复是否引入新问题
□ 相关功能是否正常
□ 是否有回归测试
□ 文档是否已更新
```

### 常见修复问题

```
1. 修复不完整
   - 只修复了一个入口点
   - 只修复了表面问题
   - 没有修复根本原因

2. 修复不当
   - 使用不安全的修复方法
   - 引入新的安全问题
   - 影响业务功能

3. 修复遗漏
   - 类似位置未修复
   - 同类问题未排查
   - 历史问题未清理
```

---

## 实战案例分析

### 案例一：电商平台安全评估

**项目背景**：

```
- 系统类型：B2C 电商平台
- 技术栈：Java Spring Boot + Vue.js + MySQL
- 评估类型：标准评估（黑盒 + 灰盒）
- 评估时间：2 周
- 团队规模：3 人
```

**发现的主要漏洞**：

```
┌─────────────────────────────────────────────────────────────┐
│  序号 │ 漏洞名称          │ 等级 │ 状态 │ 修复时间         │
├─────────────────────────────────────────────────────────────┤
│  1    │ SQL 注入           │ 高危 │ 已修复 │ 3 天            │
│  2    │ 水平越权          │ 高危 │ 已修复 │ 2 天            │
│  3    │ 支付金额篡改      │ 严重 │ 已修复 │ 1 天            │
│  4    │ XSS 存储型         │ 中危 │ 已修复 │ 5 天            │
│  5    │ 敏感信息泄露      │ 中危 │ 已修复 │ 4 天            │
│  6    │ 文件上传漏洞      │ 高危 │ 已修复 │ 2 天            │
│  7    │ 弱密码策略        │ 低危 │ 已修复 │ 7 天            │
│  ...  │ ...               │ ...  │ ...  │ ...              │
│                                                             │
│  总计：23 个漏洞（严重 2、高危 8、中危 10、低危 3）          │
└─────────────────────────────────────────────────────────────┘
```

**关键发现**：

```
1. 支付金额篡改（严重）
   - 位置：支付回调接口
   - 原因：未校验支付金额
   - 影响：可 0 元购买商品
   - 修复：增加服务端金额校验

2. 水平越权（高危）
   - 位置：订单查询接口
   - 原因：仅校验登录，未校验归属
   - 影响：可查看任意用户订单
   - 修复：增加用户归属校验
```

**经验总结**：

```
✓ 业务逻辑漏洞需要重点关注
✓ 支付相关功能必须多重校验
✓ 权限校验要贯穿整个业务流程
✓ 自动化扫描 + 手动测试结合效果好
```

### 案例二：金融系统安全评估

**项目背景**：

```
- 系统类型：在线银行系统
- 技术栈：.NET Core + Angular + SQL Server
- 评估类型：深度评估（白盒）
- 评估时间：4 周
- 团队规模：5 人
- 合规要求：等保 2.0 三级
```

**特殊考虑**：

```
1. 合规要求
   - 满足等保 2.0 三级要求
   - 符合金融行业规范
   - 满足内部审计要求

2. 测试限制
   - 生产环境只读测试
   - 测试环境完整测试
   - 禁止进行破坏性测试

3. 保密要求
   - 签署保密协议
   - 数据脱敏处理
   - 报告加密传输
```

**发现的主要问题**：

```
1. 架构层面
   - 缺少 WAF 防护
   - 数据库未加密
   - 日志审计不完整

2. 应用层面
   - 部分接口缺少认证
   - 会话管理不完善
   - 错误信息泄露

3. 运维层面
   - 补丁更新不及时
   - 备份策略不完善
   - 监控告警不足
```

**整改建议**：

```
短期（1 月内）：
- 修复所有高危漏洞
- 部署 WAF
- 完善日志审计

中期（3 月内）：
- 实施数据库加密
- 完善监控体系
- 建立安全开发流程

长期（6 月内）：
- 通过等保测评
- 建立安全运营中心
- 持续安全改进
```

---

## 总结与思考

### 核心要点回顾

```
1. 评估框架选择
   ✓ OWASP OTG 作为基础框架
   ✓ 根据场景选择评估深度
   ✓ 结合自动化和手动测试

2. 信息收集
   ✓ 全面的资产发现
   ✓ 准确的技术栈识别
   ✓ 持续的威胁情报

3. 漏洞检测
   ✓ 自动化工具初筛
   ✓ 手动测试深入验证
   ✓ 业务逻辑重点测试

4. 风险评估
   ✓ 使用 CVSS 客观评分
   ✓ 结合业务调整等级
   ✓ 优先修复高风险漏洞

5. 报告交付
   ✓ 管理摘要 + 技术报告
   ✓ 清晰的修复建议
   ✓ 有效的沟通汇报
```

### 深入思考

**1. 自动化 vs 手动测试**

我认为，自动化和手动测试不是替代关系，而是互补关系：

- 自动化：快速发现已知漏洞、覆盖广度
- 手动测试：发现逻辑漏洞、深度分析

最佳实践是：自动化扫描覆盖 80% 的常见问题，手动测试聚焦 20% 的关键问题。

**2. 安全评估的价值**

安全评估的价值不仅在于发现漏洞，更在于：

- 提升团队安全意识
- 完善安全开发流程
- 建立持续改进机制
- 满足合规要求

**3. 持续改进**

一次评估只是开始，真正的安全需要：

- 定期评估（至少每年一次）
- 变更时评估（重大更新前）
- 持续监控（实时威胁检测）
- 持续改进（PDCA 循环）

### 实战建议

```
给安全评估人员的建议：

1. 保持学习
   - 关注最新漏洞
   - 学习新技术
   - 分享经验

2. 保持道德
   - 遵守授权范围
   - 保护客户数据
   - 负责任披露

3. 保持沟通
   - 及时汇报进展
   - 清晰描述问题
   - 提供可行建议

4. 保持记录
   - 详细记录测试过程
   - 保存证据
   - 总结经验教训
```

---

## 参考资料

### 学习资源

```
1. OWASP 官方
   - OWASP Testing Guide: https://owasp.org/www-project-web-security-testing-guide/
   - OWASP Top 10: https://owasp.org/www-project-top-ten/
   - OWASP Cheat Sheet: https://cheatsheetseries.owasp.org/

2. 渗透测试框架
   - PTES: http://www.pentest-standard.org/
   - NIST SP 800-115: https://csrc.nist.gov/publications/detail/sp/800-115/final

3. 漏洞数据库
   - CVE: https://cve.mitre.org/
   - NVD: https://nvd.nist.gov/
   - CNVD: https://www.cnvd.org.cn/
```

### 工具资源

```
1. 信息收集
   - Subfinder: https://github.com/projectdiscovery/subfinder
   - Amass: https://github.com/owasp-amass/amass
   - httpx: https://github.com/projectdiscovery/httpx

2. 漏洞扫描
   - Nuclei: https://github.com/projectdiscovery/nuclei
   - Xray: https://github.com/chaitin/xray
   - Burp Suite: https://portswigger.net/burp

3. 渗透测试
   - Metasploit: https://www.metasploit.com/
   - SQLMap: https://sqlmap.org/
   - Burp Suite: https://portswigger.net/burp

4. 代码审计
   - SonarQube: https://www.sonarqube.org/
   - Semgrep: https://semgrep.dev/
   - Bandit: https://github.com/PyCQA/bandit
```

### 书籍推荐

```
1. 《Web 安全深度剖析》- 国内 Web 安全经典
2. 《白帽子讲 Web 安全》- 吴翰清著
3. 《The Web Application Hacker's Handbook》- 经典教材
4. 《Real-World Bug Bounty Hunting》- 实战指南
5. 《渗透测试实践指南》- 系统学习
```

---

*365 天信息安全技术系列 | Day 176 | 创建时间：2026-04-11*