前言
Web 渗透测试的学习如果没有清晰的头绪和路线,往往非常烧脑且容易迷失方向。理清 Web 渗透的学习思路,将学习方案和关键知识点系统化整理,能让渗透测试的思路逐渐清晰。
在安全行业,虽然存在所谓的"35 岁危机"讨论,但安全领域相对特殊。年龄带来的经验积累往往是优势,许多大厂的安全岗位要求 5-10 年经验,这通常需要资深从业者才能胜任。网络安全行业门槛高,但不容易混得好。想在这个领域深耕,必须保持持续学习和技术提升。
本文旨在梳理提升 Web 渗透能力的核心路径,涵盖从基础工具使用到高级攻防技术的详细叙述。
Web 漏洞利用能力
Web 漏洞利用能力是指利用 Web 系统或程序的安全漏洞实施网络攻击的能力。由于 Web 系统是绝大多数机构业务系统或对外服务系统的构建形式,所以 Web 漏洞利用也是最常见、最基础的网络攻击形式之一。
在实战攻防演练中,安全人员常用的 Web 漏洞形式包括:命令执行、代码执行、解析漏洞、XSS(跨站脚本)、弱口令、文件上传、SQL 注入、逻辑漏洞、信息泄露、配置错误、反序列化、权限绕过等。
掌握这些漏洞的原理、检测方法及利用方式,是渗透测试的基础。
基础安全工具利用能力
熟练的工具利用能力是高效开展渗透工作的保障。主要包括以下工具:
- Burp Suite:Web 应用安全测试的核心工具,用于拦截、修改和重放 HTTP 请求。
- sqlmap:自动化 SQL 注入检测与利用工具。
- AppScan / AWVS:常见的 Web 漏洞扫描器。
- Nmap:网络探测和安全审计工具。
- Wireshark:网络协议分析器,用于抓包分析。
- MSF (Metasploit):强大的渗透测试框架。
- Cobalt Strike:红队行动指挥控制平台,常用于内网渗透和权限维持。
进阶能力主要包括 Web 漏洞挖掘、Web 开发与编程、编写 PoC 或 EXP 等利用、社工钓鱼四类。
(1) Web 漏洞挖掘
Web 漏洞挖掘能力主要是对 Web 系统或软件进行深度分析以发现潜在漏洞的能力。除了常规扫描,还需要结合业务逻辑进行人工审计。常见的挖掘点包括参数篡改、越权访问、业务逻辑缺陷等。
(2) Web 开发与编程
掌握一门或几门编程语言,是深入挖掘 Web 应用漏洞、分析 Web 站点及业务系统运行机制的重要基础能力。在实战攻防演练中,最常遇到、需要掌握的编程语言有 Java、PHP、Python、C/C++、Go 等。
- Java:企业级应用广泛,需熟悉 Spring 框架漏洞及反序列化问题。
- PHP:传统 Web 开发语言,常见于 CMS 系统,需注意代码审计。
- Python:脚本编写首选,用于快速开发 POC 或自动化脚本。
(3) 编写 PoC 或 EXP 等利用
PoC (Proof of Concept) 是概念验证,特指为了验证漏洞存在而编写的代码。EXP (Exploit) 是漏洞利用代码,用于直接利用漏洞获取权限或数据。
一般来说,有漏洞不一定有 EXP,而有 EXP 就肯定有漏洞。自主编写 PoC 或 EXP,要比直接使用第三方编写的漏洞利用工具困难得多。但对于很多没有已知利用代码的漏洞或 0day 漏洞,自主编写 PoC 或 EXP 就显得非常重要了。
此外,针对不同的目标或在不同的系统环境中,编写 PoC 或 EXP 的难度也不同。针对 Web 应用和智能硬件/IoT 设备等,编写 PoC 或 EXP 相对容易;而针对操作系统或安全设备编写 PoC 或 EXP 则更加困难,属于高阶能力。
(4) 社工钓鱼
社工钓鱼,既是实战攻防演练中经常使用的作战手法,也是黑产团伙或黑客组织最常使用的攻击方式。在很多情况下,攻击人比攻击系统容易得多。
在实战攻防演练中,最为常用,也是最为实用的技能主要有四种:开源情报搜集、社工库搜集、鱼叉邮件和社交钓鱼。
- 开源情报搜集:在公开的互联网信息平台上合法搜集目标机构的关键情报信息。例如新闻媒体、技术社区、企业官网、客户资源平台等。通过组合多源信息,形成有价值的情报链。
- 社工库搜集:针对特定目标机构社工库信息的搜集能力。社工库通常含有大量用户敏感信息(账号、密码、身份证号等)。在合规前提下,利用这些信息设计社会工程学陷阱。
