浅谈Web渗透测试

　　本文包括 背景介绍，Web 渗透测试方法构想，Web渗透测试实例 三个章节，其中背景介绍解读了漏洞挖掘和渗透测试两个概念，Web 渗透测试方法构想描述了结合 OWASP 测试方法论 和 PTES 把渗透测试落地的理论部分，Web渗透测试实例则是用实际案例来演示第二章的构想。背景介绍
　　本章主要介绍我对 渗透测试 和 漏洞挖掘 这两个概念的理解。
　　笔者因为工作原因, 能接触到一些国内外乙方安全公司的渗透测试报告。
　　在看过多份不同乙方公司提供的渗透测试报告后, 简单的说大概会有这么几类
　　1. 只提供一份测试报告, 报告主体内容是 漏洞列表, 漏洞详情
　　2. 提供简单的 checklist, 一般是以附录的形式写在测试报告中
　　3. 提供来测试计划, 以及测试报告
　　对于不是很懂渗透测试的甲方来说, 渗透测试的目标是发现漏洞, 上述三类报告似乎并无太大差别。
　　实际上并不是这样的, 一个有组织的渗透测试, 报告的内容可以非常丰富。漏洞挖掘
　　漏洞挖掘 是以漏洞为导向, 每年大量的 CVE 就是漏洞挖掘的结果, 比如打 CTF 也是漏洞挖掘及利用的过程。毫无疑问 漏洞挖掘能力 能表现安全人员的技能水平。
　　举个例子来说, 假设某天 xxx SRC 发布一个公告, 中低危漏洞不再收录, 只收高危及以上。你作为一个白帽子, 像用户名暴破这样的漏洞看都不看就跳过, 但是如果你是在做渗透测试, 就不能这么轻易的忽略这些漏洞。
　　那种只提供漏洞列表和详情的测试报告，可以猜测就是采用漏洞挖掘模式，这种模式对于乙方来说会稍微轻松一点，毕竟只要报告中有漏洞就可以交差了。渗透测试
　　根据PTES，渗透测试包含了两个阶段，一个是 漏洞分析，一个是 漏洞利用
　　我们平时都是把Vulnerability翻译为漏洞，实际上，我认为这个词翻译为脆弱点会更合适些。
　　渗透测试更侧重过程及方法, 测试结果只是过程的产物。总体而言, 渗透测试的目标是通过结构化的方法, 定位系统存在的所有脆弱点(Vulnerability)，并尝试去利用这些脆弱点，最终评估这些脆弱点对系统可能造成的风险.
　　如果是 漏洞评估 找到脆弱点就结束了。但如果是 渗透测试 还需要对这些脆弱点进行进一步利用, 甚至是留后门, 清除痕迹等。也就是 PTES 里说的 Exploitation 和 Post Exploitation 这两个过程。
　　所以任何的脆弱点在测试范围之内都不能被漏掉的, 小到敏感信息明文传输, 用户名暴破, 路径信息泄漏, 大到 SQL 注入, 认证绕过, 越权等等。
　　测试报告如果只报告 XSS可以弹窗 这样的漏洞, 只能算是漏洞评估的结果, 如果没有利用XSS进行实际利用, 都不能称作渗透测试。什么是利用, 比如利用xss攻击窃取Cookie, 再利用Cookie登录系统。个人看法
　　我个人认为 渗透测试和漏洞挖掘的关系 互相不是充分条件。就是说一个人很懂渗透测试工程方法, 不一定很会挖漏洞。一个很会挖漏洞的人也不一定能做好渗透测试。
　　但总体而言, 漏洞挖掘的门槛比渗透测试方法会更高。一个优秀的 CTFer, 应该可以很快掌握渗透测试的精髓, 反之一个人精通渗透测试方法论, 不一定能快速掌握漏洞挖掘技巧。
　　引用 PTES 里对渗透测试的概括
　　Remember, a penetration test should not be confrontational. It should not be an activity to see if the tester can ＂hack＂ you. It should be about identifying the business risk associated with and attack.
　　顺便讲个有趣的事情, 笔者有个朋友之前一直在 wooyun 挖漏洞, 后来还想成立一个 乙方渗透团队 去接渗透测试的活。后来说是 和甲方就酬劳问题达不成共识而作罢。
　　其实我在想 乙方团队可以以两种模式和甲方谈判。
　　模式一 漏洞挖掘模式 以漏洞计价, 严重, 高危, 中危, 低危 分别多少钱
　　模式二 渗透测试模式 制定渗透测试计划, 输出 checklist, 漏洞报告, 威胁建模报告等
　　在我看来 模式一 对乙方团队来说, 多劳多得, 压力也会小些。模式二 更花时间精力, 资费应该更贵。
　　结果也很明显, 业界更倾向于模式一, 要么自己建立 SRC, 收漏洞, 根据漏洞危害等级付相应酬劳。要么和大的白帽平台合作, 在这些平台上发起众测。
　　模式二真正的问题是甲方怎么样才能信任乙方团队, 一方面乙方团队有没有这个能力来接渗透测试的任务。另一方面 如何保证乙方团队不泄露甲方数据。
　　我个人觉得模式二对乙方更有价值, 很多小型公司没有足够资金预算投入人力做安全。可以雇佣 安全团队 做风险评估/渗透测试等。 PTaaS（PenTest as a Service）理论上还是蛮好的。类似于CA证书模式, 一个中立的非营利PT（Penetration）机构, 对乙方团队进行认证。甲方信任PT机构, 所以信任拥有该机构颁发的PT证书的乙方团队。Web 渗透测试方法构想
　　本章 以 PTES见参考文献[1]和 OWASP 测试指南见参考文献[2] 为基础, 构建我的 Web 渗透测试落地方法
　　PTES 简介
　　可能有些读者不了解 PTES, 这里我做非常简单的介绍
　　PTES 全称是 penetration testing execution standard, 也就是渗透测试执行标准。该标准定义来渗透测试的流程及内容, 分为七个部分
　　1. Pre-engagement Interactions 前期交互
　　2. Intelligence Gathering 信息收集
　　3. Threat Modeling 威胁建模
　　4. Vulnerability Analysis 漏洞分析
　　5. Exploitation 渗透利用
　　6. Post Exploitation 后渗透
　　7. Reporting 报告
　　这七个部分覆盖了渗透测试从开始到结束的完整流程。可以说这是渗透测试从业者不得不看的一套渗透测试方法。有兴趣的读者请查阅参考文献[1]
　　Web ＂PTES＂
　　我适当调整了 PTES, 让这个标准结合 OWASP 测试指南, 落地在渗透测试过程
　　1. Pre-engagement Interactions 前期交互
　　2. Intelligence Gathering 信息收集
　　3. Vulnerability Modeling 漏洞建模
　　4. Vulnerability Analysis 漏洞分析
　　5. Exploitation 渗透利用
　　6. Reporting 报告
　　威胁建模可以利用 STRIDE 模型, 攻击树, 攻击库建模, 这些对于一个＂敏捷＂的渗透测试来说 过于抽象了些。所以我把它改为漏洞建模。
　　前期交互
　　前期交互的核心是 范围和目标。范围是指测试覆盖的范围, 涉及到的资产服务器, 域名/ip, 数据库 等等。
　　目标的话, PTES 也给来很清晰的介绍
　　Every penetration test should be goal-oriented. This is to say that the purpose of the test is to identify specific vulnerabilities that lead to a compromise of the business or mission objectives of the customer. It is not about finding un-patched systems. It is about identifying risk that will adversely impact the organization.
　　比如甲方的诉求是要确保 数据库 不会被拖库, 或者要求 xxx 域名的 web 服务不会受拒绝服务攻击影响, 等等。就像老师常说的, 带着问题去看书。这里是带着目标去测试。
　　输出件根据 测试范围, 测试目标, 测试时间/进程安排等 整理出测试计划文档
　　信息收集
　　信息收集覆盖渗透测试的所有环节, 收集的信息越丰富, 渗透测试相对而言就会越顺利。相关内容网络上非常多, 在此不再赘述。
　　漏洞建模
　　把每一个唯一的 HTTP 路径认为是一个接口
　　比如
　　GET /main/asdf
　　POST /subproc/fdsa
　　{xxx=xyz}
　　PUT /upload/tmpfile
　　file=fake content
　　漏洞建模也是以 Web 路径 为一个维度, 以 Web 漏洞类型为另一个维度, 建立一个二维矩阵
　　那么有个疑问是, 我没开始测之前, 我怎么知道要不要打＂*＂, 比如＂Buffer overflow＂我怎么知道哪些接口要打＂/＂, 哪些接口不要。
　　我的建议是, 如果你不确定要不要打 ＂*＂, 就默认打 ＂*＂, 等你对系统更加了解之后, 也许凭借你的经验, 可以快速定位哪里需要打 ＂*＂
　　最终把二级建模的所有打＂*＂的项目整理出来, 输出漏洞 Checklist
　　输出件：漏洞 Checklist
　　漏洞分析
　　利用各种奇技淫巧的思路, 去分析上一步 输出的漏洞 Checklist 是否真实存在漏洞。
　　这个过程区别于漏洞建模的是 需要确定测试用例, 比如＂POST /subproc/dosth＂可能存在 SQL inj 漏洞, 测试人员要 手工/自动化工具 去检测是否真实存在漏洞, 整理出测试用例
　　比如
　　POST /subproc/dosth
　　{xxx=xyz}
　　测试人员输出测试用例如下
　　输出件：漏洞列表, 测试用例
　　渗透利用
　　输出漏洞列表, 漏洞分析环节就结束了, 一般在甲方也就点到为止, 不再继续做利用。这也是可以理解的, 甲方只需要有 SQL 注入就够了。
　　而如果要继续进行利用, 可能会是 SQL 注入获取系统 shell 执行, 或者利用 SQL 注入写文件, 获取 Webshell, 或者爬取数据库, 能发现敏感的特权账户, 进而利用特权账户登陆系统等等。
　　那岂不是漏洞分析就完全够了吗, 为什么还要利用呢
　　这要看具体的场景, 如果甲方在产品中有部署防火墙, WAF 等, 甲方想知道在这种环境下, 即使有 SQL 注入漏洞, 能造成什么危害。是不是 WAF 能识别所有攻击行为。虽然有漏洞也是安全的。还是说可能有多个漏洞串联造成大危害。这些都是漏洞分析不会去做的。所以这也是为什么 渗透测试的价格会比漏洞分析更贵的本质原因。
　　测试报告
　　输出 只包含漏洞列表的渗透测试报告 是非常不负责任的。
　　一方面这可能根本谈不上渗透测试, 最多只能说是漏洞分析报告
　　另一方面甲方很难根据只有漏洞列表的报告得到产品安全或者不安全的结论
　　完整的渗透测试应该输出以下交付件
　　输出件： 测试计划文档一份, 漏洞 Checklist 一份, 与 checklist 及测试范围匹配的 测试用例一份, 包含漏洞详情的测试报告一份Web渗透测试实例
　　上面谈了这么多理论上的思路。本章我想利用一个案例来展示上述流程中的 漏洞建模, 漏洞分析以及漏洞利用
　　以 HackerOne 的 CTF 第 8/9 题为目标, 对目标进行渗透测试。见参考文献[3]
　　HackerOne 是一个国外非常流行的众测平台, 而如果想在这个众测平台挖漏洞赚钱, 得先去 CTF 演练场答题挣积分, 积累 26 积分才能有一个邀请码。
　　本次以 8/9 题Ticketastic: Demo Instance/Ticketastic: Live Instance为测试目标, 演示如果利用上述的 Web PTES 进行渗透测试。
　　前期交互
　　测试范围：http://35.190.155.168/b9b2ddf96c/
　　测试目标：用户数据库
　　信息收集
　　接口： /newTicket, /login, /admin, /ticket, /newUser
　　漏洞建模
　　根据经验, 在认证, 会话管理, 授权, 输入检测几个方向最可能出问题, 所以本次仅针对这些方向进行测试
　　漏洞分析
　　对 漏洞 Checklist 进行逐个漏洞分析排查, 排查过程中, 整理测试用例
　　经过上述的测试用例执行之后, 输出漏洞列表
　　渗透利用
　　执行 漏洞分析 过程之后, 掌握多个漏洞之后, 就要利用这些漏洞, 可能是单个漏洞的利用, 也可能是组合利用
　　为来达成 测试目标＂用户数据库＂, 构建以下攻击思路
　　以管理员凭证登陆系统, 并利用 SQL 注入漏洞拖库, SQL 注入点已找到, 关键在于怎么获取管理员凭证
　　思路 1: 破解 session
　　思路 2: 通过 xss 窃取 cookie
　　思路 3: 通过 CSRF 添加账户
　　思路 4: 暴力破解密码
　　经过 session 的 base64 解码, session 的前一部分是{＂user＂:＂admin＂}, 但后一部分乱码, 无思路。
　　暴力破解也是下下策, 毕竟如果用 top10000 的字典跑不出来, 不是这个解题方向。
　　通过 xss 窃取 cookie 和 CSRF 添加账户均可行。可因为 hackerOne CTF 环境限制, xss 窃取 cookie 无法成功。最后可以试试 CSRF
　　通过漏洞 1newTicket 存储型 XSS注入

精准监测健康随行三星GalaxyWatch5系列惊艳问世全民健身时代，运动俨然已成为时尚生活的象征，各类智能装备也随之升级，以满足人们对健康生活的新需求。日前，三星正式推出了新一代智能手表三星GalaxyWatch5系列，包括Galax最强天赋！NBA历史10大状元排名奥尼尔仅排第五，邓肯未进前三在NBA里状元几乎就代表着这一届最强的天赋球员，虽然NBA历史上还是有着几位水货状元，但这也毕竟是少数，在历史最佳阵容当中乔佛魔鲨皇，其中就有四位是状元郎，而在ESPN排出的历史前EDG会不会延续2021年的剧情，败者组夺冠，以一号种子进入世界赛仿佛去年的剧情，EDG败者组遇到LNG，能不能上影去年的戏码，从败者组一路过关斩将，强势夺冠以一号种子进去世界赛。季后赛开始，EDG的状态越来越好，完全不像常规赛一样，第一场打FP欧冠大冷，伟大的54！他们终结13年的苦等，送前冠军出局北京时间8月24日0300，欧冠附加赛次回合，海法马卡比在客场02落后的情况下连追2球完成绝平22，以总比分54淘汰前欧冠冠军贝尔格莱德红星，时隔13年重返欧冠正赛。47731名球塔利亚菲科巴黎并非不可击败，两年前他们也曾丢法甲冠军直播吧8月24日讯法国当地时间9月18日，里昂将对阵法甲霸主巴黎圣日耳曼，对手目前可谓势头正旺。日前里昂新援塔利亚菲科在接受LeProgrs采访时表示，自己很清楚巴黎实力强大，但他詹姆斯和科比乔丹，谁更厉害？论冠军数拉塞尔甩乔丹几条街用詹姆斯和科比乔丹对比这很不公平，科比乔丹从精神上和对胜利的渴望是詹姆斯没法比的，不能说詹姆斯不好，只能说对胜利的渴望和执着没有两位大神来的高度，抱团拿总冠军也是一种方法，只是换来艾尔登法环续作是战棋？剧情画风均被重视，即将开始测试对于艾尔登法环这部大作，想必玩家们都已经不陌生了，这款大作最近堪称是最火爆的单机游戏，由于其暗黑系的风格紧凑的剧情以及出色的NPC交互，获得了非常多主机玩家的青睐，成为了时下最热门张殊贤郑雨轻松获胜进八强，小黄人组合混双卫冕冠军一同出局北京时间8月25日，2022年羽毛球世锦赛在日本东京结束第三轮的争夺，中国队又拿到一个女双八强席位。张殊贤郑雨轻松获胜闯入女双四分之一决赛，男单的阿塞尔森骆建佑等夺冠热门都顺利晋级任正非都在喊话活下去，作为普通人的我们更要未雨绸缪，早作准备这两天有个大新闻，来自华为的任正非。8月22号，华为内部论坛上上线了一篇关于整个公司的经营方针要从追求规模转向追求利润和现金流的文章。创始人任正非在文内提到全球经济将面临着衰退消费锋线实力大减，后防不稳，阵容老化！利物浦老板把钱袋子攥太紧了英超第三轮的焦点战中，红魔曼联爆冷主场击败利物浦，让自己逃离降级区的同时也让老对手利物浦经历了噩梦般的联赛开局，三轮仅积2分，而且全队的状态都非常糟糕，可以说这支利物浦已经提前告别30的的开门红北京时间8月24日消息，2022年国际乒联成都世乒赛即将开赛。日本女乒已经公布了由伊藤美诚领衔的参赛阵容，中国女乒的王曼昱陈梦孙颖莎等正在积极备战。与此同时，WTT支线系列赛奥洛穆CM型碳质小行星演化研究获进展来源中国科学院太阳系外物质是原始太阳星云最初始的物质组成，是太阳系形成以前其他恒星演化至晚期的喷出物凝聚而形成的物质。太阳系外物质在太阳系的形成与演化过程中残存下来，在原始球粒陨石我使用的第29台CD机于无声处听惊雷加拿大惊雷CD3。3，这是我新近购买的一台万元级CD机。之前使用英国赛乐斯8X专用电源，效果相当好。许多朋友都来听过，一致说不错。我的朋友蒋先生，家在北京，在浙江的一所大学里任讲师传苹果已经开始研发iPhone15据了解，苹果公司已经开始研发iPhone15系列，而15系列将有三大主要变化，第一是将全系采用USBC接口，也就是说iPhone终于放弃了闪电接口，将有可能带来更快的充电速度。第二画质便携俱佳摄影备机购买指南不满足手机拍照的画质，又不想要过于沉重复杂的摄影器材，所以高画质的便携相机是首选。那么，在微单相机横行的今天，市场上有没有既便携画质又好的相机呢？本期每日摄影就跟您介绍几款非常适合8月25日油价调整消息开涨！油价逐步反弹，速度加油今日油价最新调整消息8月25日星期三，油价逐步呈现上涨趋势，五连跌后的油价终于要上涨了，新能源车主欢呼声一片，专家建议燃油车车主赶紧加油！国际原油价格方面8月25日今早国际原油传来给地球插上插头？向岩石要热量！从太空观察地球，我们会看到一颗蔚蓝美丽的星球。由于海洋的蓝色和森林的绿色都是冷色调，这样的地球可能看上去会让我们感到清朗凉爽。不过眼睛总是会骗人，实际情况或许出乎大家意料。地球其实俄罗斯科学家2036年一颗行星可能撞上地球，人类真的无计可施？你可能觉得人类时代比恐龙时代更加强大，但实际上人类能够活到现在，仅仅是因为我们比恐龙运气更好而已。我们不妨换位思考，如果人类面对足以毁灭世界的小行星撞击，又能有什么手段呢？毁神星即跟着赵露思学穿搭，轻松变甜妹星汉直播点映看了吗？磊磊跟露丝直播互发微信，真是磕疯了哈哈哈，越来越喜欢露丝了，她整个人的演技还有状态都是越来越好，越来越美。。也超级喜欢她的生活以及对工作的样子，工作上积极努力，私藏LV经典老花中古包，不吃土也能精致一入中古深似海啊！众所周知中古包大多是身份高贵的包包，可能是上个世纪vintage包包，无论从收藏价值还是稀有程度都可以说是当仁不让！最近入了中古包的坑，特别不怕撞包烂大街，越看越遗憾！莫雷诺与新东家续约无果，36岁申花队魂即将退役申花传奇外援莫雷诺即将结束自己的职业生涯！根据哥伦比亚著名体育记者消息，36岁的莫雷诺决定退役，正式结束自己近20年的足球生涯。2012年6月，莫雷诺签约上海申花，并一直在球队效力31！中国队逆转头名晋级，赛后开心庆祝，替补奇兵单局10分爆发8月25日16点，女排亚洲杯继续进行小组赛争夺，中国女排过招A组最后一个对手伊朗队。中国女排轮换了副攻和二传位置。第一局上来，庄宇珊吴梦洁连续失误丢分，02！胡铭媛吴梦洁开始追分，
<<<<<<－>>>>>>