多年的实战业务漏洞挖掘经验,为了让今后的业务漏洞挖掘工作更清晰,以及尽可能的把重复性的工作自动化、半自动化,所以花费很大精力做了这个笔记。
具体操作流程:
得到测试目标-目标资产范围确定-资产收集-资产管理-资产分类-具体业务功能理解-业务漏洞测试-逻辑漏洞测试-提交报告
资产管理很多文章和大佬都讲过,渗透测试的本质就是信息收集,收集到的信息越多,发现漏洞的概率越大,这些信息被称为资产。
那么常规的资产收集手段,思路已经千篇一律了,围绕着子域名和IP收集,其实资产收集的核心思想是,确定资产范围,确定资产范围就需要先分析出资产特征,然后通过各种手段全网寻找符合特征的资产,这叫做资产识别,把收集到的资产分类编辑的具有较高可用性,叫做资产管理。
如当你要去干一个目标之前,首先第一步肯定是要知道目标是啥,了解目标是做什么的,凭借安全测试人员的常识和经验分析目标存在那些特征,来确定资产范围来收集符合特征的资产就是资产收集。
目标资产确定资产范围/目标画像
需要收集到的信息
域名、子域名
网页内容特征信息
ICP备案信息
WHOIS联系信息
SSL/TLS证书信息
DNS解析信息
WHOIS-NAMESERVER信息
IP以及同IP其他端口和站点服务类型和版本等基础信息
C段、B段、等相关ip段
目标全名、介绍、招股书、所在地/联系方式/邮箱/电话/github
目标负责人、法人、管理员、员工姓名/所在地/联系方式/邮箱/电话
客户端应用windows/android/ios/mac/