Loransee/web-app-pentest-methodology
GitHub: Loransee/web-app-pentest-methodology
一份完全解析的 Web 应用渗透测试方法论文档,将行业标准框架转化为对每个阶段、工具和命令都有详细说明的实战指南。
Stars: 1 | Forks: 0
# Web 应用渗透测试 — 方法论(详解版)
这是一份适合初学者、**完全解析**的 Web 应用渗透测试方法论。它遵循与标准专业渗透测试清单相同的结构 —— 但对每一个阶段、工具、命令和标志都进行了详细解释:*为什么*需要这一步,你*实际在寻找什么*,以及*每条命令的作用是什么*。
基于行业标准框架构建:**OWASP Web Security Testing Guide (WSTG) v4.2**、**OWASP Top 10:2025**、**OWASP API Security Top 10**、**PTES** 以及 **NIST SP 800-115**。
## ⚠️ 仅供合法与授权使用
本材料**仅用于授权的安全测试和教育**。仅对你**拥有**或获得**明确书面授权**进行测试的系统进行测试。
在大多数司法管辖区,未经授权访问计算机系统是非法的(例如美国《计算机欺诈和滥用法》、英国《计算机滥用法》以及全球类似的法规),可能导致刑事起诉和民事责任。作者及贡献者对任何滥用行为**不承担任何责任**。
**合法地进行实践**:在你自己的实验室,或专为该目的构建的平台上:
- [PortSwigger Web Security Academy](https://portswigger.net/web-security)(免费)
- [Hack The Box](https://www.hackthebox.com/)
- [TryHackMe](https://tryhackme.com/)
## 内容概览
完整的方法论位于 **[`Web_App_Pentest_Methodology_EXPLAINED.md`](Web_App_Pentest_Methodology_EXPLAINED.md)**。
**第 0 部分 — 核心概念:** Web 是如何工作的(客户端 ↔ 服务端,请求/响应)、HTTP 方法、状态码、参数、cookie 与会话、角色、代理(Burp)、字典文件,以及底层的思维方式。
**17 个阶段:**
| # | 阶段 | 重点关注 |
|---|-------|-------|
| 0 | 测试前准备与设置 | 授权、测试范围、账号、工具 |
| 1 | 信息收集 | 指纹识别、端口、子域名、映射 |
| 2 | 内容与端点发现 | 隐藏页面、文件、备份、API |
| 3 | 配置与部署 | TLS、安全标头、方法、cookie 标志 |
| 4 | 身份管理 | 用户名枚举 |
| 5 | 身份验证 | 暴力破解、弱密码、MFA、密码重置逻辑 |
| 6 | 会话管理 | 会话生命周期与会话固定 |
| 7 | 授权 / 访问控制 | IDOR、权限提升、路径遍历 *(最高价值)* |
| 8 | 输入验证 / 注入 | SQLi、XSS、命令注入、SSTI |
| 9 | 文件上传 | 恶意上传处理 |
| 10 | SSRF | 服务端请求伪造 |
| 11 | 业务逻辑缺陷 | 价格/数量、跳过步骤、竞态条件 |
| 12 | 客户端攻击 | CSRF、开放重定向、点击劫持、CORS |
| 13 | API 测试 | 未授权访问、IDOR、批量赋值、GraphQL |
| 14 | Token 与 SSO | JWT、OAuth/OIDC、SAML |
| 15 | 错误处理与密码学 | 信息泄露、详细错误信息 |
| 16 | 漏洞利用与链式攻击 | 将发现转化为证明 + 最大化影响 |
| 17 | 报告编写 | 编写可复现的测试报告 |
**附录:** 工具参考 · 字典文件路径 (SecLists) · 漏洞 → OWASP/CWE 映射 · CVSS 严重程度指南 · 快速心智模型。
## 适用人群
面向学生、初级渗透测试工程师、漏洞赏金猎人,以及蓝队成员;帮助他们充分理解攻击面,以便更好地测试 —— 或防御 —— Web 应用。
## 如何使用
1. 从头到尾阅读**第 0 部分**。
2. 按顺序进行完整的测试流程,或跳转到特定阶段(例如阶段 7:访问控制)作为参考。
3. 根据你实际测试的范围调整每一条命令。`↻ PER ROLE` 标签的意思是:以访客、用户 A、用户 B 和管理员身份分别执行检查,然后对比结果。
## 参考文献
- [OWASP Web Security Testing Guide (WSTG)](https://owasp.org/www-project-web-security-testing-guide/)
- [OWASP Top 10:2025](https://owasp.org/Top10/)
- [OWASP API Security Top 10](https://owasp.org/www-project-api-security/)
- [PTES — Penetration Testing Execution Standard](http://www.pentest-standard.org/)
- [NIST SP 800-115](https://csrc.nist.gov/pubs/sp/800/115/final)
## 贡献
欢迎提供建议、纠错和补充说明 —— 请提交 issue 或 pull request。
## 许可证
基于 [License](LICENSE) 发布。详情请参阅 LICENSE 文件。
标签:CISA项目, Web安全, 安全培训, 安全测试方法论, 实时处理, 密码管理, 开源文档, 蓝队分析, 防御加固