本文主要为针对指定大型企业以及其子公司的渗透测试规范流程

Web渗透测试前置准备

1. 了解本次渗透测试目标
2. 了解渗透测试范围以及要求，客户需求

xxxxxxxxxx
* 是否有给出测试账号
* 是否收集泄露的敏感信息
* 是否收集子公司漏洞
* 收集哪些或者特定标准的子公司
* 是否收集低危或特定漏洞

信息收集

1. 通过00信安下载企业暴露面详情
2. 通过ICP备案网站了解其域名情况（推荐使用爱企查，不过要会员）
3. 通过fofa收集各域名对应子域名
4. 通过高级搜索语法搜索是否有新开的域名（此方法耗时较长，建议进行完其他流程后再继续）

xxxxxxxxxx
必应（bing）：site:example.com keyword filetype:pdf
site仅支持根域名，可以替换host支持子域名，不过搜索范围会稍微有点偏，keyword处可以填你想要搜索的词，例如登录、身份证。filetype可以搜索指定类型的文件。百度搜索语法基本上相似
备注：若找到了泄露敏感文件的地方，可以通过URL猜解其是否能被拖库遍历

大致性漏洞扫描

1. 将之前获得的域名（包括子域名）和IP地址输入nmap存活批量探测脚本中，获得对应IP、开放端口、存活状态。

xxxxxxxxxx
nmap批量探测脚本请找站长索要

2. 将IP资产和域名资产导入Goby中进行批量扫描（扫描耗时较长，可以进行手工测试了）

xxxxxxxxxx
也可以使用Nessus等扫描程序

3. 导出XLS报告查看，验证扫描出的漏洞是否真实存在
4. 将获取到的网站数据单独保存，方便进行后续的手工测试流程

人工渗透测试流程

端口测试

1. 查看是否存在可疑敏感的端口开放
2. 对开放的远程登录端口+数据库端口等进行爆破尝试
3. 对非登录的Web页面端口进行访问测试，若无法访问则尝试使用ITDog全局ping测试，网站关闭需要删去

非登录状态测试

1. 访问每一个域名+对应端口，查看站内标题，记录到资产表内
2. 发现OA以及熟悉的通用应用框架可以直接进行测试+账密爆破，记录结果到资产表内，防止重复测试

xxxxxxxxxx
(1) 点击页面功能，查看是否存在明显的XSS/SQL注入特征（输入框，报错特征）
(2) 查看JS内容，了解密码加密方式以及泄露的路径
(3) 尝试登录，查看提示，猜测是否存在暴力破解或者用户名枚举漏洞
(4) 通用框架Nday测试

3. 抓包测试

xxxxxxxxxx
该流程与2一同进行
(1) 获取全流量，查看存在数据查询的地方是否存在SQL注入特征（Post请求-Body部分）
(2) 查看登录尝试的返回包中是否可能返回敏感数据
(3) 查看浏览网页时，API接口路径和其返回信息中是否存在敏感数据

4. 进行初步测试后，进行路径扫描，查看可以路径，若发现还有其他框架，则再次对该框架进行路径扫描

xxxxxxxxxx
切记，2/3步骤不可互换，部分网站存在防护机制，若客户没有对攻击IP加白容易导致后续测试无法进行

4. API接口Fuzz测试，查看是否会有敏感数据流出
5. 收集测试结果，整理泄露的敏感数据为字典，对之前包含登录接口的网站再次进行测试
6. 若根据敏感数据Fuzz成功登录系统，则继续进行登录测试

登录状态测试（测试账号）

1. 流程与域名数据测试相仿，只不过是在登录状态下进行，着重点是鉴权和文件上传
2. 访问系统内数据处，删去cookie查看是否仍能继续查看（未授权访问） 部分系统的cookie是根据其中的用户名标识来识别的，可以尝试换成admin再进行操作
3. 若存在不同权限账户，可以尝试切换数据接口，是否存在越权
4. 查看系统内头像或者是其他上传接口，测试文件上传漏洞
5. 查看系统内输入处，测试XSS漏洞
6. 若其中存在其他用户列表，可以尝试记录成字典，去测试没有给出账户的系统

微信公众号/小程序测试

部分网址有请求头识别，若不是在微信环境下启动就打不开

1. 首先先挂上代理（使用proxifier），将微信的流量导向到代理软件，再由BP进行拦截
2. 在微信内搜索目标公司（以及其各分公司），点击关注后查看其是否支持非微信域名外的功能（qq.com直接跳过）
3. 搜索小程序，测试其逻辑漏洞

xxxxxxxxxx
* 微信小程序往往比纯web环境更加脆弱，漏洞更多，且经常会存在接口泄露、敏感数据泄露等问题，测试时可以多加注意。
* 测试登录接口时，注意返回的数据包是否可疑，部分小程序在返回用户名信息时还会返回敏感数据
* 复制小程序和微信网页的URL进行路径爆破，说不定会有意外之喜
* 大公司的公众号往往都会非常多，注意不要遗漏了

报告整理

按照客户要求，根据指定模板书写渗透测试报告