1 / 17

Web应用安全与渗透测试 | 自在学

Web应用安全与渗透测试

很多人觉得渗透测试就是拿工具扫一扫，找到漏洞就完事了。但真正做过几年渗透测试的人都知道，这行当里门道深着呢。今天我们就从实战的角度，来聊聊Web应用安全到底是什么，以及我们做渗透测试的时候到底在干什么。

什么是Web应用安全？

从攻击者的视角看问题

我先问你一个问题：你觉得一个Web应用最脆弱的地方在哪里？

很多人会说是SQL注入、XSS这些技术漏洞。但我在实际测试中发现，最脆弱的地方往往是开发者的思维盲区。

举个例子，之前有人测试一个电商系统，技术层面防护做得还不错，WAF、参数过滤都有。但发现他们的优惠券系统有个逻辑漏洞：用户可以通过修改请求参数，把优惠券的折扣从9折改成0.1折。这个漏洞在技术层面完全检测不到，因为参数都是合法的，只是业务逻辑有问题。

这就是Web应用安全的核心：不是技术有多先进，而是整个系统有没有被攻击者思维审视过。

Web应用安全的本质

Web应用安全，说白了就是在Web应用的各个层面，防止攻击者达到他们的目的。

攻击者想要什么？说白了，他们想要的东西就那么几样。数据是最值钱的，用户数据、业务数据，拿到手就能卖钱，或者用来做其他坏事。权限也是他们想要的，从普通用户变成管理员，就能为所欲为了。有些攻击者纯粹是想搞破坏，让系统瘫痪，业务中断，看热闹不嫌事大。还有些人更聪明，他们不直接攻击，而是绕过业务流程，比如通过漏洞免费买东西，或者绕过支付流程，这种攻击往往更难防范。

Web应用的安全，就是在这些攻击路径上设置防线。但问题是，防线往往有漏洞。互联网发展这么多年，这么多系统，还没一个完全没有漏洞的。

示意图，包含前端、后端、数据库、服务器等多个层面的防护措施，以及攻击者可能突破的路径

为什么Web应用这么容易出问题？

Web应用容易出问题，很大程度上是因为开发节奏太快了。互联网公司都在追求快速迭代，一周一个版本是常态，安全往往被放在最后考虑，甚至不考虑。我见过太多项目，功能上线了，安全测试还没做。这种“先上线，后安全”的做法，往往埋下了很多隐患。

更让人头疼的是，很多开发者对安全的理解还停留在“加个WAF就安全了”的层面。他们不知道，WAF只能防住已知的攻击模式，对于逻辑漏洞、业务漏洞，WAF完全没用。这种对安全的浅层理解，导致很多系统在设计和开发阶段就存在安全问题。

而且，安全是一个系统性工程。Web应用的安全涉及前端、后端、数据库、服务器、网络等多个层面。任何一个层面出问题，都可能导致整个系统被攻破。但很少有公司能把这所有层面都做好。往往是前端做了防护，后端有漏洞；后端做了防护，数据库配置有问题。这种“木桶效应”在安全领域特别明显。

很多年前的时候，SQL注入、XSS这些就够用了。现在不行了，WAF越来越智能，攻击技术也在不断进化。绕过WAF、利用逻辑漏洞、组合多种攻击手段，这些都是现在的常态。攻击者在进步，防御者如果停滞不前，就会被攻破。

攻击者模型

做渗透测试，你得先理解你的对手——攻击者。他们是怎么想的？他们会用什么手段？

最底层的是脚本小子（Script Kiddie），技术能力一般，主要靠工具和现成的exp。他们通常会用自动化工具扫漏洞，找到漏洞就尝试利用，但不太懂原理，遇到防护就放弃。对付这类攻击者，基本的WAF和防护措施就够了。他们虽然数量多，但威胁相对较小。

往上走是技术型攻击者，有一定的技术能力，会进行手工测试，不依赖工具。他们理解漏洞原理，能绕过简单防护，还会组合多种攻击手段。对付这类攻击者，需要更深入的防护。他们往往能发现一些自动化工具发现不了的漏洞。

最危险的是高级持续威胁（APT），这类攻击者通常是有组织的，会长期潜伏，慢慢收集信息。他们会利用0day漏洞，组合技术手段和社会工程学，目标明确，不达目的不罢休。对付这类攻击者，需要建立完整的安全体系。他们是最危险的，往往能造成严重的损失。

攻击者模型

攻击者的工作流程

在做渗透测试的时候，会模拟攻击者的思维。一个典型的攻击流程是这样的：

信息收集阶段，攻击者会收集目标的各种信息。域名、子域名能让他们了解目标的网络结构。识别技术栈，看看用的什么框架、什么数据库，这些信息对后续攻击很重要。扫描开放的端口和服务，了解系统暴露的攻击面。收集员工的社交媒体信息，用于社会工程学攻击。查找历史漏洞信息，看看这个系统以前出过什么问题。信息收集得越全面，攻击面就越大。

基于收集的信息，攻击者会分析哪些地方可能有问题。登录、注册、支付这些关键功能，往往是重点目标。如果系统用的是有漏洞的框架版本，那就是一个突破口。优惠券系统、积分系统这些业务逻辑复杂的地方，也容易出问题。漏洞发现阶段，攻击者会通过各种手段。自动化扫描工具能快速发现一些明显的漏洞，但更重要的是手工测试，通过手工测试能发现很多工具发现不了的问题。如果有源码，他们还会进行代码审计，直接从代码层面找问题。

发现漏洞后，攻击者会利用这些漏洞，达到攻击目的。这可能包括获取数据、提升权限、控制服务器等。

如果目标是长期控制，攻击者会想办法维持访问。留后门、创建管理员账号、利用合法功能维持访问，这些都是常见的手段。

攻击案例

目标：一个在线教育平台，有用户系统、课程系统、支付系统。

信息收集阶段，攻击者发现系统用的是ThinkPHP框架，这个框架有已知漏洞。还发现了子域名admin.example.com，这是管理后台。通过GitHub搜索，发现了泄露的配置文件，里面包含数据库密码。还发现员工在社交媒体上发布的技术栈信息，这些信息对攻击很有用。

攻击面分析时，攻击者发现ThinkPHP框架可能有框架层面的漏洞，管理后台如果找到漏洞可以直接控制，配置文件泄露可以直接访问数据库，支付系统可能有业务逻辑漏洞。

实际攻击路径就可能是这样的：攻击者先利用泄露的数据库密码，直接连接数据库。在数据库中找到管理员密码，虽然是用MD5加密的，但强度弱，可以被轻松破解。用管理员账号登录后台，在后台发现文件上传功能，上传Webshell，通过Webshell控制服务器。

这个案例说明什么？攻击者不会只走一条路，他们会找最容易突破的点。在这个案例里，技术漏洞（ThinkPHP）都没用上，直接通过信息泄露就进去了。

渗透测试的目标与边界

很多人对渗透测试有误解，觉得就是“黑客攻击”。其实不是。

渗透测试（Penetration Testing），是在授权的情况下，模拟攻击者的行为，发现系统中的安全漏洞。

关键词：授权。没有授权的测试，那就是攻击，是违法的。

渗透测试的目标

做渗透测试的时候，目标通常有这几个。最直接的目标是发现安全漏洞，通过测试，发现系统中存在的安全漏洞。这些漏洞可能是技术漏洞，比如SQL注入、XSS这些常见的Web漏洞。也可能是逻辑漏洞，也就是业务逻辑缺陷，比如优惠券系统、支付系统的逻辑问题。还可能是配置漏洞，服务器配置错误导致的安全问题。或者是架构漏洞，系统架构设计问题导致的安全隐患。

发现漏洞只是第一步，更重要的是评估这些漏洞的风险。一个SQL注入漏洞，如果只能查数据不能改数据，风险就相对较低；如果能直接getshell，风险就很高。评估风险要考虑漏洞的影响范围、利用难度、修复成本等多个因素。

很多公司会部署WAF、IDS等防护设备，渗透测试可以验证这些设备是否真的有效。在测试中可以发现，很多WAF配置不当，该防的没防住，不该防的误报一大堆。通过渗透测试，可以验证这些防护措施是否真的起到了作用。

发现漏洞后，测试员会提供详细的修复建议。这包括漏洞原理说明，让开发理解漏洞是怎么产生的。包括攻击演示，证明漏洞确实存在，不是误报。包括修复方案，代码层面的修复建议，告诉开发怎么改代码。还包括临时缓解措施，在修复前如何降低风险，比如先加个WAF规则，或者先关闭某个功能。

渗透测试的边界

做渗透测试，一定要明确边界。什么该测，什么不该测，要事先说清楚。

应该测试的范围包括授权的系统和应用，只能测试客户明确授权的系统，不能测试其他系统。授权的测试时间窗口，只能在约定的时间内进行测试，不能随意测试。授权的测试方法，比如能不能用自动化工具，能不能进行某些特殊操作，都要事先说清楚。

不应该做的事情包括未经授权的系统测试，不能测试客户没有授权的系统。超出授权范围的测试，不能超出授权书规定的范围。可能影响业务的操作，比如DoS测试，除非特别授权，否则不能做，因为可能影响正常业务。数据删除、修改，除非特别授权，否则不能删除或修改数据。社会工程学攻击，除非特别授权，否则不能进行社会工程学攻击。

测试员在实际项目中，会先和客户明确这些边界，签测试授权书。这样既保护了客户，也保护了我自己。有了授权书，测试就是合法的，没有授权书，那就是违法的。

渗透测试 vs 安全审计

很多人分不清渗透测试和安全审计的区别。简单说，安全审计更全面，包括管理制度、人员安全等各个方面，不仅仅是技术层面。安全审计通常有源码，可以做代码审计，能够深入分析代码层面的问题。安全审计时间较长，可能几个月，因为要覆盖的方面很多。安全审计的输出是审计报告，内容更全面。

而渗透测试更聚焦，主要关注技术漏洞，不会涉及管理制度、人员安全这些方面。渗透测试通常没有源码，是黑盒或灰盒测试，从外部测试系统。渗透测试时间较短，可能几天到几周，因为范围更聚焦。渗透测试的输出是渗透测试报告，主要关注技术漏洞。

两者互补，不是替代关系。安全审计关注全面性，渗透测试关注技术深度，两者结合才能全面评估系统的安全性。

黑盒 / 白盒 / 灰盒测试

这是渗透测试中最基础的概念，但很多人理解不深。让我从实战角度给你解释。

黑盒测试（Black Box）

黑盒测试就是完全不知道系统内部情况，就像攻击者一样，只能通过外部接口测试。

黑盒测试的特点是，没有源码，没有系统架构文档，不知道用的什么技术栈，需要自己识别。这种测试方式完全模拟真实攻击者，因为真实攻击者也没有源码和文档。

黑盒测试的优点是最接近真实攻击场景，能发现从外部能发现的所有问题，测试结果更有说服力。如果客户想知道系统在真实攻击者面前有多脆弱，黑盒测试是最好的选择。

但黑盒测试也有缺点。测试效率低，很多时间花在信息收集上，因为要从零开始了解系统。可能漏掉一些内部才能发现的问题，比如一些逻辑漏洞，从外部测试可能发现不了。测试深度有限，因为不知道内部实现，无法深入分析。

黑盒测试适用于模拟真实攻击者的场景，适用于验证外部防护措施，适用于客户想要最真实的测试结果的情况。

白盒测试（White Box）

白盒测试就是完全知道系统内部情况，有源码、有文档、有架构图。

白盒测试的特点是有完整源码，有系统架构文档，知道技术栈和实现细节，可以做代码审计。这种测试方式就像医生给病人做全面体检，能看到所有内部情况。

白盒测试的优点是测试效率高，可以直接看代码找问题，不需要花时间信息收集。能发现黑盒测试发现不了的问题，比如逻辑漏洞，从代码层面能看得更清楚。测试深度深，可以分析到代码层面，能够深入理解漏洞的根本原因。

但白盒测试也有缺点。不够真实，真实攻击者没有源码，所以测试结果可能不能完全反映真实攻击场景。可能过度关注代码问题，忽略配置问题，因为有了源码，可能就专注于代码审计，忽略了服务器配置、网络配置等问题。需要代码审计能力，不是所有测试人员都具备这个能力。

白盒测试适用于开发阶段的安全测试，适用于需要深度代码审计的情况，适用于有源码的情况下。

灰盒测试（Gray Box）

灰盒测试介于两者之间，知道部分信息，但不是全部。

灰盒测试的特点是有部分文档，比如API文档，知道技术栈，但没有源码，知道部分架构信息，可以登录测试账号。这种测试方式就像半开半闭的状态，知道一些信息，但不是全部。

灰盒测试的优点是平衡了效率和真实性，既能做外部测试，又能利用内部信息，测试深度和广度都比较好。这是大多数商业渗透测试项目采用的方式，因为它在效率和真实性之间找到了平衡。

但灰盒测试也有缺点。需要把握好度，不能太依赖内部信息，否则就失去了真实性。测试方法需要灵活调整，根据掌握的信息多少，调整测试策略。

灰盒测试适用于大多数商业渗透测试项目，适用于有测试账号的情况下，适用于需要在效率和真实性之间平衡的情况。

图片描述：一个对比黑盒、白盒、灰盒三种测试方法的示意图，展示每种方法的特点、优缺点和适用场景，以及它们之间的区别

实战对比

让我们用一个简单案例，展示三种测试方法的差异。

测试目标：一个用户管理系统，有注册、登录、个人信息管理功能。

黑盒测试过程：信息收集发现是PHP系统，用Burp抓包分析，发现登录接口/api/login.php，尝试SQL注入在用户名和密码字段尝试各种payload，发现用户名字段存在注入，利用注入获取管理员密码hash，破解hash登录系统。整个过程花了2天，大部分时间花在信息收集和fuzz上。

白盒测试过程：直接看登录代码login.php，发现代码直接拼接SQL，确认SQL注入漏洞，继续看其他代码发现更多问题。整个过程只花了半天，直接看代码效率高。

灰盒测试过程：客户提供了API文档，知道登录接口是/api/login.php，知道是PHP系统用MySQL数据库，用Burp测试登录接口发现SQL注入，利用注入但因为知道数据库结构可以直接查管理员表。整个过程花了1天，比黑盒快，比白盒真实。

选择哪种测试方法？

在实际项目中，选择哪种测试方法，通常考虑这几个因素。项目阶段很重要，如果是开发阶段，通常用白盒测试，在代码层面发现问题，这时候有源码，可以深入分析。如果是上线前，用灰盒测试，平衡效率和真实性，既要快速发现问题，又要接近真实场景。如果是上线后，用黑盒测试，模拟真实攻击，看看系统在真实攻击者面前有多脆弱。

客户需求也很关键，如果客户想要最真实的测试结果，那就用黑盒，完全模拟攻击者。如果客户想要深度代码审计，那就用白盒，深入分析代码。如果客户想要平衡，那就用灰盒，既有效率又有真实性。

时间和预算也是考虑因素，如果时间紧、预算少，那就用灰盒或白盒，效率高一些。如果时间充足、预算充足，那就用黑盒，虽然慢一些，但更真实。

测试目标决定了方法选择，如果目标是验证外部防护，那就用黑盒，从外部测试。如果目标是代码安全审计，那就用白盒，深入代码。如果目标是全面安全评估，那就用灰盒，平衡各个方面。

常见误解和误区

误区1：渗透测试就是拿工具扫一扫

这是最常见的误解。很多人觉得，渗透测试就是运行个Nessus或者AWVS，等扫描结果出来，整理一下就是报告了。

实际情况：

在实际测试中发现，自动化工具能发现的漏洞，通常只占实际漏洞的30%左右。剩下的70%，工具检测不到。逻辑漏洞工具检测不到，因为工具不理解业务逻辑。业务漏洞工具不理解，比如优惠券系统、积分系统的逻辑问题，工具发现不了。组合漏洞需要多种技术组合，工具只能检测单一漏洞，无法发现组合利用的情况。配置漏洞工具可能误报或漏报，因为配置问题往往需要人工判断。

真正的渗透测试，手工测试占70%，工具只占30%。工具的作用是快速发现明显的漏洞，辅助信息收集，验证手工测试的结果。但真正有价值的漏洞，往往需要手工测试才能发现。工具是辅助，人才是核心。

误区2：找到漏洞就完事了

很多人觉得，渗透测试就是找漏洞，找到漏洞任务就完成了。

实际情况：

找到漏洞只是第一步。更重要的是验证漏洞，确认漏洞确实存在，不是误报。很多自动化工具会误报，需要人工验证。评估风险也很重要，这个漏洞的风险有多高？能造成什么影响？不是所有漏洞都是高危的，需要根据实际情况评估。提供修复建议，怎么修复？有没有临时缓解措施？要给出可操作的修复方案。验证修复，修复后，漏洞真的被修复了吗？很多开发修复不彻底，需要复测验证。

我在实际项目中，经常遇到这种情况：我报告了一个SQL注入漏洞，开发修复了，但我复测发现，修复不彻底，还是能注入。这时候就需要继续跟进，直到真正修复。找到漏洞只是开始，修复漏洞才是目的。

误区3：渗透测试能保证系统安全

有些客户会问： “做完渗透测试，系统就安全了吗？”

实际情况：

渗透测试不能保证系统安全，只能发现已知的漏洞。

原因有几个。测试有局限性，测试时间有限，不可能测到所有场景，可能有些漏洞没测到。攻击技术在进化，今天安全的系统，明天可能就有新的攻击方法，安全是一个动态的过程。系统在变化，系统更新、新功能上线，都可能引入新漏洞，一次测试不能保证永远安全。0day漏洞，如果系统有0day漏洞，渗透测试发现不了，因为0day漏洞是未知的。

渗透测试的作用是：在特定时间点，发现系统中存在的安全问题，并提供修复建议。但安全是一个持续的过程，不是一次测试就能解决的。需要定期进行测试，持续改进。

误区4：有WAF就安全了

很多公司觉得，部署了WAF（Web应用防火墙），系统就安全了。

实际情况：

WAF只能防住已知的攻击模式，对于以下情况，WAF基本没用。逻辑漏洞WAF不理解业务逻辑，检测不到，比如优惠券系统的逻辑问题，WAF完全检测不到。业务漏洞WAF检测不到，因为WAF只检测攻击模式，不理解业务。0day漏洞WAF没有规则，防不住，因为0day是未知的。绕过技巧，攻击者可以通过各种方法绕过WAF，比如编码、混淆等。

在测试中经常遇到这种情况：系统部署了WAF，但我通过逻辑漏洞还是能攻击成功。WAF的作用是提高攻击门槛，但不能完全依赖。WAF是防护的一层，但不是全部。

误区5：渗透测试就是攻击，是违法的

有些人觉得，渗透测试就是黑客攻击，是违法的。

实际情况：

有授权的渗透测试是合法的，没有授权的才是违法的。

关键区别是，有授权的情况下，客户明确授权你测试，签了授权书，这就是合法的。无授权的情况下，未经允许就测试，这就是违法的。这个区别很重要，决定了你的行为是合法的安全测试，还是违法的黑客攻击。

测试员在做项目的时候，一定会和客户签测试授权书，明确测试范围和时间，明确测试方法，明确不能做的事情。这样既保护了客户，也保护了我自己。有了授权书，测试就是合法的，没有授权书，那就是违法的。

误区6：渗透测试很神秘，需要很高技术

有些人觉得，渗透测试很神秘，需要很高的技术才能做。

实际情况：

渗透测试确实需要技术，但更重要的是思维和方法。

技术可以学，但安全思维需要培养。技术好的不一定测试做得好，反而是那些思维灵活、善于发现问题的人，测试做得更好。

做渗透测试，你需要有好奇心，看到异常就想搞清楚为什么，这种好奇心能帮你发现很多问题。你需要有系统性思维，能把各种信息串联起来，从信息收集到漏洞利用，需要把各个环节串联起来。你需要有攻击者思维，站在攻击者的角度想问题，想想攻击者会怎么攻击，你就能找到漏洞。你需要持续学习，安全技术更新很快，需要不断学习，不能停滞不前。

技术是工具，思维才是核心。有了好的思维，工具只是辅助；没有好的思维，再好的工具也没用。

总结

这第一节课我们聊了Web应用安全的基础概念。让我们总结一下要点。

Web应用安全的本质，不是技术有多先进，而是系统有没有被攻击者思维审视过。技术再先进，如果没有从攻击者的角度思考，还是会有漏洞。理解攻击者很重要，做渗透测试，要先理解你的对手是怎么想的。只有理解了攻击者的思维，你才能找到他们可能攻击的地方。

明确目标与边界，渗透测试有明确的目标，也有明确的边界，不能越界。有授权才是合法的，没有授权就是违法的。三种测试方法，黑盒、白盒、灰盒各有优缺点，根据实际情况选择。没有最好的方法，只有最适合的方法。

避免常见误区，不要对渗透测试有不切实际的期望。渗透测试不能保证系统安全，只能发现已知的漏洞。安全是一个持续的过程，不是一次测试就能解决的。

下一个部分，我们会深入学习Web应用的技术基础。这是做渗透测试的“语法基础”，不理解这些，后面的漏洞理解起来会很困难。

记住：渗透测试不是工具的使用，而是思维的训练。希望你能通过这门课程，不仅学会发现漏洞，更重要的是理解安全的本质，培养安全思维。

重要提醒：本课程所有技术内容仅用于合法的安全测试和防护。未经授权的渗透测试是违法行为，请务必遵守相关法律法规。在进行任何测试之前，确保你已经获得了明确的授权。