本文分享了 Web 安全漏洞挖掘的实战经验与入门路径。内容涵盖心态调整、测试范围确认、信息收集技巧(子域名、端口扫描)、常见漏洞类型分析(XSS、SQL 注入、逻辑漏洞)、工具使用建议(Burp Suite)以及报告撰写规范。旨在帮助初学者建立系统化的安全测试思维,强调合法合规的重要性,并提供持续学习的路径建议。
Web 安全是一个不断演进的领域,漏洞挖掘是提升安全技能的重要途径。本文将分享从信息收集到漏洞验证的全流程经验,帮助初学者建立正确的安全测试思维,理解 SRC(Security Response Center)运作机制,并提供实用的工具使用建议。
SRC 是一场多对多的较量,对手包括研发、测试、运维及安全人员。漏洞挖掘往往需要长时间的信息积累和尝试。面对连续数日无果的情况,保持耐心至关重要。只有坚信自己能够发现潜在风险,才能在漫长的测试过程中取得成果。
在进行任何测试之前,必须严格遵守法律法规。仅在授权范围内进行测试,明确测试边界。超出范围的测试可能被视为非法入侵。对于 SQL 注入等高危操作,严禁读取过多数据或破坏数据库完整性。遵循安全测试规范,避免对生产环境造成实质性危害。
不同 SRC 平台对漏洞评分标准不同。提交前务必阅读《漏洞提交规范》,了解哪些漏洞类型不被收录。例如,某些平台不接收反射型 XSS,若盲目尝试则浪费时间。第一步是研读平台的漏洞评分标准。
SRC 平台会有规定的众测任务,包含域名限制。超出的域名不会给漏洞审核,且存在非法测试的风险。IP 段的收集不能仅停留在表面,需要通过 IP 分布来确定核心段、边缘段、云服段等。注意目标厂商开发喜欢使用的框架,可通过招聘网站信息辅助判断技术选型。
在详细了解了域名范围后,需对旗下域名进行信息收集。利用在线子域名收集工具或本地软件(如 Subfinder, Amass)进行爆破。重点关注历史解析记录,发现隐藏资产。扩展域名的查找通常通过域名 Whois 查询注册人、联系邮箱进行关联查找。
IP 段的收集需要结合 IP 分布确定核心段。使用 Nmap 等工具扫描开放端口,识别 Web 服务版本、数据库端口及中间件信息。边缘段中一般会存在测试机器,这些机器往往未关闭 Debug 模式,登录账号通常为弱口令,是重要的突破口。
通过 HTTP 响应头、页面源码特征判断 CMS 框架、编程语言及服务器类型。例如,查看 HTML 中的 meta 标签、JS 引用路径等。知道目标厂商使用什么框架有助于快速定位已知漏洞。
如果不是众测挖到漏洞后不建议直接提交,而是思考如何才能扩大战果。例如挖到 XSS 后,思考能不能拿到 Cookie?如果不能退一步可以找一个 CSRF 将漏洞变成 XSRF。在测试机器通过弱口令进去后能不能 Getshell,拿到 Shell 后进行审计又是十几个高危。在对只有登录框界面进行测试时一定要多注意子目录以及接口。IP 打开后 403、404 不要忽略,先扫目录,往往高危存在于许多低危的并发利用中。
推荐使用 Burp Suite 进行流量拦截与修改。熟悉 Proxy、Repeater、Intruder 模块功能。Burp 上可以添加很多插件实现不同的功能,配合 Chrome 和 Firefox 浏览器使用。SwitchyOmega 插件可管理代理配置。
谨慎使用重型扫描器(如 AWVS, AppScan),以免触发 WAF 封禁 IP。建议使用 BBscan 等工具进行目录扫描,重点放在路径的扫描,比如有没有 403、404 的站点,爆破 API 接口端点、路径一些。不要太依赖于扫描器,强是强,但是还是自己来的踏实。
Fiddler 在进行并发测试的时候很舒服,功能和 Burp 各有千秋。对于新手,可以多在意一些数值溢出,以及接口的利用。各个模块都有相对应的靶场(例如 SQL 注入有 Sqli-labs 这样一些漏洞靶场进行训练)可以对自己进行漏洞利用的锻炼,不断提高经验。
报告不是直接把漏洞贴上去就行了,而且需要讲你是怎样发现这个资产、测试过程中遇到的问题、解决这些问题用了哪些方法、能够造成什么影响。尽可能的精简,从你是审核的角度去看待你提交的报告这样才能拿到更多的赏金或积分。
一份高质量的报告应包含:
使用 DVWA、OWASP Juice Shop 等靶场练习漏洞利用。虚拟机中集成各种靶场,可以自行下载学习。
参加一些 CTF 比赛,进行锻炼和升级,能很广泛的提升自己的接触面和对漏洞的认知。
每天去阅读些大师傅写的文章,学习骚姿势。不要企图去加一下大师傅去骚扰他们,让大师傅们分享怎么快速挖洞的技巧,没有一步登天的好事,所有的坑都需要自己去踩。多认识一些朋友,互相分享漏洞的思路。找大师傅们尽量听他们给的建议,或者给你的规划,而不是说一味的去问怎么挖洞。
安全能力的提升没有捷径,需要不断的实践与总结。摆正心态,不要抱着一定会被审核通过的想法,被忽略很正常。年轻的程序员从来不缺重头再来的勇气!把眼光放远,我们才能走的更远。赚钱固然很好,但赚钱当你成功之后是顺带的事情。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
查找任何按下的键的javascript键代码、代码、位置和修饰符。 在线工具,Keycode 信息在线工具,online
JavaScript 字符串转义/反转义;Java 风格 \uXXXX(Native2Ascii)编码与解码。 在线工具,Escape 与 Native 编解码在线工具,online
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。 在线工具,JavaScript / HTML 格式化在线工具,online
Terser 压缩、变量名混淆,或 javascript-obfuscator 高强度混淆(体积会增大)。 在线工具,JavaScript 压缩与混淆在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
