网络安全漏洞挖掘实战经验与入门指南

网络安全漏洞挖掘实战经验与入门指南 | 极客日志

网络安全漏洞挖掘实战经验与入门指南

一、心态建设

SRC（Security Response Center，安全应急响应中心）是一场多对多的较量。对手不仅是研发、测试和安全人员，更是与自己打一场持久战。心态至关重要。

换个简单的说法：总有新功能在 Web 应用上部署，只要有网站存在，就必然会有漏洞。但既然选择了漏洞挖掘，就要做好面对几天甚至几周一无所获的心理准备。只有足够坚信自己，保持耐心，才能在漫长的挖掘过程中小有成就。不要急于求成，技术积累需要时间沉淀。

二、SRC 参与规则与潜规则

1. 了解平台规则

什么是 SRC？它是企业或组织设立的安全应急响应中心。市面上存在各种厂商的安全应急响应中心，不同平台的评分标准、奖励机制和收录范围各不相同。

第一步： 详细阅读平台的漏洞评分标准。例如，某些网站根本不收反射型 XSS 漏洞，如果你一直尝试提交此类漏洞，纯属浪费时间。务必先读规则，再动手。

2. 明确测试范围

SRC 平台通常会有规定的众测任务，并限制测试范围。切勿超出范围！ 超出的目标不仅不会给漏洞审核，还可能涉及非法测试的法律风险。这是原则问题，必须切记。

3. 遵循合规规范

例如 SQL 注入测试会有严格要求，哪些数据不能读取、最多读取多少条等。SQL 注入可不要随意删除或篡改数据，否则可能触犯法律红线。这是职业操守和法律底线。

4. 关注奖励机制

有些平台的礼品和赏金非常丰厚。在合规的前提下，选择奖励机制合理的平台进行挖掘，能更好地激励自己持续学习。

三、信息收集阶段

在详细了解了域名范围后，就要对旗下的域名范围进行信息收集。如果连需要测试的网站都不知道，测试无从谈起。

1. 子域名收集

这里有一些在线的子域名收集工具，以及子域名挖掘机（软件类）。在各大安全社区论坛都有相关文章可以进行学习。信息收集不仅仅是子域名收集，更重要的是网段以及扩展域名的查找。

2. 扩展域名查找

扩展域名怎么找？

Whois 查询： 通过注册人、联系邮箱进行关联查找。
HTML 代码分析： 检查网页源码中是否包含其他内部链接或资源地址。
IP 段分布： IP 段的收集不能说收集完了就了事，需要通过 IP 分布来确定核心段、边缘段、云服段等。

3. 框架识别

需要知道目标厂商开发喜欢使用什么框架。至于怎么去找使用框架，可以查看目标厂商的招聘网站看看，说不定有惊喜。在边缘段中一般会存在 N 台测试机器，测试机器是我们最好的突破口。因为测试机器往往不会关闭 debug 模式，并且登录账号通常为弱口令。

四、漏洞挖掘实战

参照着评定规则进行漏洞的挖掘。常见漏洞类型包括：XSS、SQL 注入、CSRF、权限绕过、文件上传、弱口令、代码执行等。

我们不要心机，每个都进行测试，往往会什么也得不到，一项一项来。

1. 漏洞扫描器使用

关于漏洞挖掘过程中的扫描器使用问题：网上有很多扫描器的存在，例如 AWVS、AppScan 等重型扫描器。但是很多网站是有防护系统的，例如某些大厂会轻易封掉你的 IP，往往得不偿失，而且重型扫描器也可能会对网站造成危害，慎用。

推荐的话用 BBscan 这种轻量级的扫描器去扫，重点放在路径的扫描，比如说有没有 403、404 的站点，爆破 API 接口端点、路径一些。还是不要太依赖于扫描器，强是强，但是还是自己来的踏实！

2. 常用工具详解

在和高手的聊天中，他们都不怎么使用扫描器去进行测试。这里给大家推荐两个工具：

第一：Burp Suite 浏览器推荐使用 Chrome 和 Firefox 浏览器，可以使用很多代理插件。Burp 上可以添加很多插件实现不同的功能，抓包改包很是方便，重放和密码爆破各种功能都是神器无疑。

第二：Fiddler Fiddler 在进行并发测试的时候很舒服，功能和 Burp 各有千秋。对于 HTTP/HTTPS 协议的调试，这两个工具是基础必备。

3. 入手点选择

上来对提交的一些表单（例如：意见反馈、文件上传等）要特别敏感，还有就是一些功能点（例如：付款的金额校验、修改密码的 sign 值替换等）。进来多找功能点的进行测试，不要对着 HTML 一直有想法，毕竟不会 HTTP 协议层的攻击，新手入门可以多在意一些数值溢出，以及接口的利用，还有就是任意文件上传这些点，慢慢在培养自己的自信心。

通过和高手的聊天得知，很多 SRC 大佬新手阶段都是从逻辑漏洞开始的，可以尝试一些并发的逻辑漏洞，每个网站都或多或少会存在一些，就看你有没有善于发现的眼睛和超乎常人的耐心。

4. 提升危害与利用

如果不是众测挖到漏洞后不建议直接提交，而是思考如何才能扩大战果。比如挖到 XSS 后，思考能不能拿到 Cookie？如果不能退一步可以找一个 CSRF 将漏洞变成 XSRF 以此造成蠕虫？在测试机器通过弱口令进去后能不能 Getshell，拿到 Shell 后进行审计又是十几个高危。在对只有登录框界面进行测试时一定要多注意子目录以及接口。IP 打开后 403、404 不要忽略，先扫目录，扫完了再说，往往高危会存在于许多低危的并发利用中。

五、漏洞报告编写

报告不是直接把漏洞贴上去就行了，而且需要讲你是怎样发现这个资产、测试过程中遇到的问题、解决这些问题用了哪些方法、能够造成什么影响？尽可能的精简，从你是审核的角度去看待你提交的报告这样才能拿到更多的赏金或积分。（人情社会下，要互相体谅理解）

一份优秀的报告应包含：

漏洞标题：清晰描述漏洞类型和影响。
漏洞位置：具体的 URL 或参数。
复现步骤：详细的操作步骤，确保审核人员能复现。
危害说明：该漏洞可能导致的数据泄露、权限提升等后果。
修复建议：提供可行的修复方案。

六、经验从何而来

浅谈很多人觉得难是因为没有洞察力、思考力以及大局观。什么是洞察力？简单的来说就是通过参数的变化观察页面的不同，而思考力就是结合观察到的信息去猜想后端的实现以此为基础挖掘漏洞。至于大局观不是一两句话能说清楚的，涉及到渗透的经验了。

1. 参加比赛

可以参加一些 CTF 比赛，进行锻炼和升级，能很广泛的提升自己的接触面和对漏洞的认知。

2. 持续学习

不要企图去加一下大师傅去骚扰他们，让大师傅们分享怎么快速挖洞的技巧，没有一步登天的好事，所有的坑都需要自己去踩，每一个人都有自己的路去走。（和别人聊天前必读《提问的艺术》和善用百度）多认识一些朋友，互相分享漏洞的思路，每天去阅读些大师傅写的文章，学习骚姿势！！不断的提升自己！！

3. 虚心请教

找大师傅们尽量听他们给的建议，或者给你的规划，而不是说一味的去问怎么挖洞，这种问题就相当于，一个小孩还不会写字，在让你教他写作文一样，毫无意义，这个过程需要自己慢慢的积累和学习，而不是让别人喂，来让别人施舍，只会让别人看不起自己！

4. 建立自信

一定要有自信心，对于我们平常使用的东西，敢于发出挑战，比如让你挖百度的漏洞，你自己从心理上都把自己吓跑了（诶呀我天天用的东西，怎么会存在漏洞呢），摆正心态，不要抱着一定会被审核通过的想法，被忽略很正常。

七、网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础 + 操作系统 + 中间件 + 数据库，四个流程下来就差不多了。

1. 网络安全法和了解电脑基础

其中包括操作系统 Windows 基础和 Linux 基础，标记语言 HTML 基础和代码 JS 基础，以及网络基础、数据库基础和虚拟机使用等…别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去 B 站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。

学到 http 和 https 抓包后能读懂它在说什么就行。

2. 网络基础和编程语言

网络基础包括 TCP/IP 协议栈、HTTP 协议细节、DNS 解析过程等。编程语言方面，Python 是首选，用于编写自动化脚本；Shell 用于系统操作；JavaScript 用于前端安全分析。

3. 入手 Web 安全

Web 是对外开放的，自然成了的重点关照对象，有事没事就来入侵一波，你说不管能行吗！想学好 Web 安全，咱首先得先弄清 web 是怎么搭建的，知道它的构造才能精准打击。所以 web 前端和 web 后端的知识多少要了解点，然后再学点 python，起码得看懂部分代码吧。最后网站开发知识多少也要了解点，不过别紧张，只是学习基础知识。

等你用几周的时间学完这些，基本上算是具备了入门合格渗透工程师的资格，记得上述的重点要重点关注哦！

再就是，要正式进入 web 安全领域，得学会 web 渗透，OWASP TOP 10 等常见 Web 漏洞原理与利用方式需要掌握，像 SQL 注入/XSS 跨站脚本攻击/Webshell 木马编写/命令执行等。这个过程并不枯燥，一边打怪刷级一边成长岂不美哉，每个攻击手段都能让你玩得不亦乐乎，而且总有更猥琐的方法等着你去实践。

学完 web 渗透还不算完，还得掌握相关系统层面漏洞，像 ms17-010 永恒之蓝等各种微软 ms 漏洞，所以要学习后渗透。可能到这里大家已经不知所云了，不过不要紧，等你学会了 web 渗透再来看会发现很简单。

其实学会了这几步，你就正式从新手小白晋升为入门学员了，真的不算难，你上你也行。

4. 安全体系

不过我们这个水平也就算个渗透测试工程师，也就只能做个基础的安全服务，而这个领域还有很多业务，像攻防演练、等保测评、风险评估等，我们的能力根本不够看。所以想要成为一名合格的网络工程师，想要拿到安全公司的 offer，还得再掌握更多的网络安全知识，能力再更上一层楼才行。即便以后进入企业，也需要学习很多新知识，不充实自己的技能就会被淘汰。

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

八、总结

这篇文章可能没有像别的大师傅写出来很炫酷的姿势，希望对和我一样的新入门的朋友能产生一些激励，带来新的思路，因为交 src 总有被忽略的时候，不要灰心丧气，年轻的程序员从来不缺重头再来的勇气！加油！！希望可以有所帮助！！

所以没有人的成功是偶然的，要多提升自己的能力，而不是想着去如何如何赚钱，赚钱固然很好，但赚钱当你成功之后是顺带的事情，把眼光放远，我们才能走的更远！！

网络安全漏洞挖掘实战经验与入门指南