文章总结: 文章从攻击者视角解析Web攻击全流程,涵盖侦察、漏洞发现与利用阶段,指出侦察是泄露起点。文中列举子域名枚举、IDOR等技术与工具,并示例漏洞串联危害。针对防御,建议SOC监控异常扫描,完善日志记录,实施最小权限与授权校验,以缩小盲区,实现主动检测防御。 综合评分: 85 文章分类: WEB安全,渗透测试,红队,安全建设,实战经验
从侦察到利用:攻击者如何发现、利用和串联Web应用程序漏洞——以及防御者如何检测和阻止它们
haidragon haidragon
安全狗的自我修养
2026年3月3日 12:10 湖南
官网:http://securitytech.cc
今天,我们用攻击者的思维,来做防御。
攻击中最危险的部分,往往是你看不见的那一段 —— 侦察(Reconnaissance)。
大多数数据泄露并不是从漏洞利用开始的。 它们始于攻击者绘制你的攻击面,在你察觉之前找到薄弱入口。
根据 Verizon 的《数据泄露调查报告(DBIR)》,相当比例的安全事件涉及外部攻击者,并且通常始于侦察与扫描活动。
在许多漏洞赏金(Bug Bounty)和 VAPT 评估中,初始入口往往是一个被遗忘的子域名、配置错误的 API 或暴露的服务 —— 这些都是在侦察阶段发现的资产。而互联网级扫描和威胁情报平台正是为了提前暴露这些风险。
在本文中,我们将拆解攻击者如何从侦察走向漏洞利用 —— 以及防御者如何尽早检测并阻止他们。
1. 引言
现代攻击很少直接从漏洞利用开始。
它们从**可见性(Visibility)**开始。
攻击者不会随机入侵系统 —— 他们会先绘制、观察、理解目标。这种方法同样被漏洞赏金猎人、红队成员以及真实攻击者广泛使用。
理解这种端到端攻击流程有助于:
- 外部威胁情报平台(如 Whatoblock)在利用发生前就提供可见性
- SOC 团队更早检测攻击
- 安全工程师设计更有效的防御体系
- 研究人员更快发现高影响漏洞
本文将带你从攻击者视角出发,走完整个从侦察到利用与检测的流程。
2. 侦察与外部可见性
按 Enter 或点击查看原图
一切从这里开始。
攻击者要回答的核心问题是:
“哪些资产暴露在公网,并且可以被访问?”
子域名枚举与端点发现
常用工具:
- subfinder:查找子域名
- amass:深度子域名枚举
- crt.sh:通过 SSL 证书日志发现子域
- dnsx:解析并验证域名
示例命令:
subfinder -d target.com -all-recursive-o subdomains.txt
amass enum -passive-d target.com -o amass.txt
cat subdomains.txt amass.txt | sort-u > final_subdomains.txt
检测存活主机:
httpx -l final_subdomains.txt -o live_hosts.txt
用于识别活跃主机。
端点与 URL 发现
工具:
- gau:获取历史 URL
- waybackurls:获取归档 URL
- hakrawler:爬取页面链接
- katana:深度爬取隐藏端点
echo example.com | waybackurls > urls.txt
echo https://example.com | hakrawler >> urls.txt
katana -u https://example.com >> urls.txt
sort-u urls.txt > final_urls.txt
技术栈识别
工具:
- Wappalyzer:识别框架、CMS
- WhatWeb:识别 Web 技术与服务器信息
- BuiltWith:技术栈与集成分析
- httpx:探测服务与 HTTP 响应
whatweb -a3-v--log-json tech.json https://target.com
httpx -l subdomains.txt -tech-detect
攻击者可以识别:
- 前端框架(React、Angular、Laravel)
- Web 服务器(nginx、Apache)
- 后端技术(NodeJS、PHP)
- 第三方集成服务
互联网级扫描视角
攻击者还会使用全球扫描引擎:
- Whatoblock
- Shodan
- Censys
- ZoomEye
- FOFA
示例查询:
org:"target company"
ssl:"target.com"
port:443 product:nginx
SOC 视角提示:
- 异常 DNS 查询激增
- 大量 NXDOMAIN 响应
- 重复 404 错误
这些往往是自动化侦察的强烈信号。
按 Enter 或点击查看原图
实时 TCP/UDP 扫描行为示例(来源:Whatoblock)
按 Enter 或点击查看原图
实时 Botnet C2 基础设施监控(来源:Whatoblock)
按 Enter 或点击查看原图
(来源:Shodan)
按 Enter 或点击查看原图
(来源:Censys)
3. 攻击面映射
侦察之后,下一步是理解应用如何运行 —— 这叫做攻击面映射(Attack Surface Mapping)。
测试者会探索:
- 所有参数
- API 接口
- 用户角色
- 业务流程
重点关注:
id、user_id、account_id/api/v1/users- 登录 / 重置密码 / 2FA
- 普通用户 vs 管理员差异
示例:
GET /api/user?user_id=123
GET /api/v1/admin/users
GET /api/admin/dashboard
尝试用普通用户访问管理员接口。
工具:
- Burp Suite
- Postman
- Chrome DevTools
- FFUF
ffuf -u https://target.com/api/FUZZ -w wordlist.txt
4. 漏洞发现
真正的漏洞挖掘阶段。
1. 越权访问 / IDOR
修改请求中的 ID:
GET /api/user/123/profile
改为:
GET /api/user/124/profile
如果能访问他人数据,即为 Broken Access Control。
2. 认证与会话问题
检查:
- 登出后 Token 是否仍有效
- 每个请求是否验证 Session
- 是否可绕过 2FA
示例:
Authorization: Bearer <token>
3. 业务逻辑漏洞
- 优惠券重复使用
- 跳过支付
- 跳过 OTP
4. 参数篡改与响应分析
关注:
- 状态码变化
- 响应大小差异
- 错误信息差异
5. 利用与漏洞链
真实攻击往往是漏洞组合拳。
例如:
- IDOR → 数据泄露 → 提权
- 弱认证 → 会话复用 → 账户接管
- 暴露 API → 管理接口 → 数据泄露
6. 真实攻击链示例
按 Enter 或点击查看原图
攻击流程:
- Recon → 发现
api.target.com - 找到
/api/v1/user?id=123 - 修改 ID → IDOR
- 收集邮箱
- 利用弱密码重置流程
- 账户接管
- 提权至管理员
影响:完整账户控制 + 敏感数据泄露
7. 检测与防御
按 Enter 或点击查看原图
SOC 应监控:
- 子域扫描激增
- 大量 401 / 403
- 参数快速递增
- API 枚举
- 连续 ID 访问
按 Enter 或点击查看原图
IP 行为情报监控(来源:Whatoblock)
应记录的日志
- 用户访问模式
- API 请求频率
- 失败登录
- 权限变更
- 敏感数据访问
安全设计实践
- 对每个对象做授权校验
- 验证资源归属
- 实施限速
- 持续异常检测
- 最小权限原则
8. 核心总结
- 攻击者流程是可预测的
- 许多漏洞源于暴露资产
- Broken Access Control 仍最常见
- 强日志与监控是早期检测关键
9. 结论
有效防御的前提是:
像攻击者一样思考。
理解从侦察到利用的全过程,能够帮助团队:
- 提前发现威胁
- 更快响应
- 构建更安全系统
安全不再只是修复单个漏洞。 而是缩小可见性盲区,构建能够检测、抵抗和响应威胁的系统。
- 公众号:安全狗的自我修养
- vx:2207344074
- http://gitee.com/haidragon
- http://github.com/haidragon
- bilibili:haidragonx
#
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全狗的自我修养 haidragon haidragon《从侦察到利用:攻击者如何发现、利用和串联Web应用程序漏洞——以及防御者如何检测和阻止它们》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论