一、前言:为什么要做标准化 Web 渗透测试
Web 应用已成为企业核心资产与攻击重灾区。自动化扫描仅能发现 30%–50% 漏洞,业务逻辑、越权、链式利用等高阶风险必须靠人工渗透验证。本文以PTES 七阶段 + OWASP WSTG v4.2为框架,覆盖授权、侦察、测绘、漏洞、利用、后渗透、报告全链路,兼顾新手入门与工程师落地,可直接作为企业 SOP 与学习手册。
二、前期准备:合规与边界(测试生命线)
1. 授权与 ROE(规则约定)
- 书面授权:明确目标域名 / IP、测试时间段、禁止项(DDoS、删库、生产数据破坏)
- 紧急联系人与上报流程:发现 Critical 漏洞立即暂停并同步
- 测试模式:黑盒 / 白盒 / 灰盒;账号权限(未认证 / 普通用户 / 管理员)
- 输出物:测试报告、漏洞清单、修复建议
2. 范围定义(不越界、不漏测)
- 主站、子域名、API 网关、后台管理、文件服务
- 排除:第三方 CDN、支付接口、内部 OA、灾备环境
- 工具清单:Burp Suite Pro、Nmap、FFUF、Nuclei、SQLmap、Chrome DevTools
三、阶段 1:情报收集(扩大攻击面)
1. 被动侦察(不触目标)
- 域名 / 子域名:Amass、subfinder、crt.sh、Google Dork
- 备案 / 历史解析:微步、DNSDumpster
- 敏感信息:GitHub 泄露、JS 硬编码、文档元数据、备份文件
- 指纹识别:Wappalyzer、BuiltWith、响应头、错误页、路由规则
2. 主动侦察(轻量触达)
- 端口 / 服务:
nmap -T4 -A -p- target - 目录遍历
