qq_44232452的博客

测试目标：描述安全测试背后的业务需求。描述测试如何帮助组织了解其系统。业务背景下的关键发现，例如可能的合规问题、声誉损害等。关注业务影响，暂时省略技术细节。关于企业如何防止问题再次发生的战略建议。以非技术的方式描述这些建议，暂时省略具体的技术建议。摘要应具有建设性和意义。避免使用行话和负面猜测。如果使用了数据、图表或插图，确保它们能比文字更清晰地传达信息。列出发现的问题及其风险级别。可以使用表格，方便两个团队查看。参考编号标题风险级别1用户认证绕过高。

REST 是一组用于与 Web 资源进行交互的规则和约定。统一资源标识符（URI）、HTTP 方法、请求头和状态码等关键组件支撑着 REST 的原则。侦察是任何渗透测试工作中的重要步骤，这也包括 API 渗透测试。通过收集有关 API 的信息并深入了解目标，侦察工作能够显著提升测试过程的有效性。这一阶段不仅增加了发现关键安全问题的可能性，还能确保对 API 的安全态势进行全面评估。

基于 DOM 的跨站脚本攻击是指页面上活跃的客户端内容（通常是 JavaScript）通过源获取用户输入，并在Sinks中使用该输入，从而导致注入代码执行的XSS漏洞的统称。本文仅讨论导致 XSS 的 JavaScript 漏洞。DOM，即文档对象模型，是浏览器中用于表示文档的结构格式。DOM 允许 JavaScript 等动态脚本引用文档的组件，如表单字段或会话 cookie。浏览器也使用 DOM 进行安全控制，例如限制不同域名的脚本获取其他域名的会话 cookie。

应用程序必须确保在应用程序或系统的前端以及直接在服务器端仅能输入逻辑上有效的数据。仅在客户端/前端验证数据可能会使应用程序容易受到通过代理或与其他系统交接时的服务器注入攻击。这与简单地执行边界值分析（BVA）不同，因为这种验证更困难，并且在大多数情况下不能仅在输入点进行验证，通常需要检查其他系统。例如：一个应用程序可能会要求你输入社会安全号码。在边界值分析中，应用程序应检查输入数据的格式和语义（值是否为 9 位数字、非负数且不全为 0），但也存在逻辑方面的考量。社会安全号码是分组和分类的。

当客户端和服务器之间传输信息时，必须对其进行加密和保护，以防止攻击者读取或修改这些信息。最常见的做法是使用HTTPS，它采用了传输层安全协议（TLS），该协议是较旧的安全套接层（SSL）协议的替代品。TLS还提供了一种方式，让服务器向客户端证明它们连接到了正确的服务器，即通过展示一个可信的数字证书。多年来，SSL和TLS协议以及它们使用的加密算法中被发现了大量的加密弱点。此外，这些协议的许多实现也存在严重的漏洞。因此，测试网站不仅要实现TLS，而且要确保以安全的方式实现，这一点非常重要。

各类应用程序（如 Web 应用、Web 服务器、数据库等）都会因各种原因产生错误。开发人员常常忽略对这些错误的处理，或者认为用户不会故意触发错误（例如，在需要整数的地方输入字符串）。当开发人员只考虑正常情况时，就会忽略代码可能接收到但无法处理的其他所有可能的用户输入。堆栈跟踪信息网络超时输入不匹配内存转储了解内部使用的 API。通过了解内部系统和框架，绘制相互集成的各种服务的地图，从而为链式攻击打开大门。收集正在使用的应用程序的版本和类型。

反射型[跨站脚本攻击（XSS）](https://owasp.org/www - community/attacks/xss/)是指攻击者在单个 HTTP 响应中注入可在浏览器执行的代码。注入的攻击代码不会存储在应用程序本身中，它是非持久化的，只会影响那些打开恶意构造链接或第三方网页的用户。攻击字符串作为构造的 URI 或 HTTP 参数的一部分，被应用程序不当处理后返回给受害者。反射型 XSS 是现实中最常见的 XSS 攻击类型。反射型 XSS 攻击也被称为非持久化 XSS 攻击，由于攻击载荷是通过单个请

任何基于Web的应用程序的核心组件之一，是控制和维护与之交互的用户状态的机制。为避免对网站或服务的每个页面进行持续认证，Web应用程序会实施各种机制，在预定的时间段内存储和验证凭据。这些机制被称为会话管理。在本次测试中，测试人员需要检查Cookie和其他会话令牌是否以安全且不可预测的方式创建。若攻击者能够预测并伪造脆弱的Cookie，就可以轻易劫持合法用户的会话。Cookie用于实现会话管理，RFC 2965中对其进行了详细描述。

许多 Web 应用程序在日常运行中会使用和管理文件。如果输入验证方法设计或部署不当，攻击者就可能利用系统漏洞来读取或写入本不可访问的文件。在某些特定情况下，甚至可以执行任意代码或系统命令。传统上，Web 服务器和 Web 应用程序会实施身份验证机制来控制对文件和资源的访问。Web 服务器会尝试将用户文件限制在“根目录”或“Web 文档根目录”内，这代表着文件系统上的一个物理目录。用户需要将此目录视为 Web 应用程序层次结构的基础目录。

许多 Web 应用程序和硬件设备的内置管理账户都设有默认密码。虽然在某些情况下，这些密码可能是随机生成的，但通常是固定的，这意味着攻击者可以轻易猜出或获取这些密码。此外，当应用程序创建新用户时，可能会为其设置预定义的密码。这些密码可能由应用程序自动生成，也可能由工作人员手动设置。无论哪种情况，如果密码不是以安全的方式生成，攻击者就有可能猜出这些密码。账户锁定机制用于缓解暴力破解攻击。登录密码或用户名猜测攻击。任何双因素认证（2FA）功能或安全问题的代码猜测攻击。

应用程序具备多种类型的功能和服务，这些功能和服务需要根据用户的需求来设置访问权限。管理员：负责管理应用程序的各项功能。审计员：审查应用程序的交易记录并提供详细报告。支持工程师：协助客户调试和解决其账户上的问题。客户：与应用程序进行交互并享受其提供的服务。为了处理这些使用场景以及应用程序的其他用例，需要设置角色定义（通常称为基于角色的访问控制，RBAC用户根据所分配的角色来完成相应的任务。一些网站提供用户注册流程，该流程能自动（或半自动化）为用户提供系统访问权限。

相互连接且异构的Web服务器基础设施本质上十分复杂，其中可能包含数百个Web应用程序，因此配置管理和审查是测试和部署每个应用程序的基本步骤。只要存在一个漏洞，就可能破坏整个基础设施的安全性，即使是看似微不足道的小问题，也可能演变成同一服务器上其他应用程序的严重风险。为了解决这些问题，在绘制出整个架构之后，对配置和已知的安全问题进行深入审查至关重要。为了确保应用程序本身的安全，对Web服务器基础设施进行适当的配置管理非常重要。

为了使搜索引擎正常工作，计算机程序（即“网络爬虫”）会定期从数十亿个网页上抓取数据（这一过程被称为网页抓取这些程序通过跟踪其他页面的链接或查看网站地图来发现网页内容和功能。如果网站使用一个名为robots.txt的特殊文件列出了不希望搜索引擎抓取的页面，那么这些页面将被忽略。这只是一个基本概述，谷歌提供了关于搜索引擎工作原理的更深入解释。测试人员可以使用搜索引擎对网站和 Web 应用程序进行侦察。搜索引擎发现和侦察有直接和间接两种方式：直接方式是指搜索索引和缓存中的相关内容；