Web渗透测试初学者路线图（2026）：从侦察到服务器端攻击

Source: Dev.to

在完成 Hacksmarter Web Pentesting 课程后，我想把整个方法论汇总成一份唯一的参考资料。无论你是准备参与漏洞赏金计划，还是仅仅想保护自己的应用，这都是你需要的思维框架。

1. Reconnaissance (The Foundation)

Pro‑Tip

• 在进行大规模扫描之前，务必先检查 robots.txt 和 sitemap.xml。你会惊讶于开发者在明面上“隐藏”的东西。

Fingerprinting

• 使用 curl、Burp/​Caido 或 Wappalyzer 插件来识别技术栈。

Directory Brute Forcing

• 工具：dirsearch、dirb 或 gobuster，用于发现隐藏的端点。

Subdomains & Vhosts

• 使用 FFUF（配合自定义脚本）和 gobuster。

Business Logic Prep

• 先成为普通用户！绘制站点功能图。普通用户能做什么，管理员能做什么？

OSINT

• Google dorks、Shodan 以及 Nmap 进行端口扫描。

2. Authentication Assessment

• Credential Attacks: 测试弱密码和凭证填充。
• MFA Bypass: 通过操纵 URL 或响应尝试绕过 2FA 步骤。
• Password Resets: 查找可预测的 token 或在重置链接中利用 Host Header 注入。
• OAuth: 检查重定向 URI 是否配置错误。

3. Session Management

• Cookie Security: 确保设置了 HttpOnly 和 Secure 标志。
• Session Fixation: 验证登录后会话 ID 是否会变化（不应保持不变）。
• JWT (JSON Web Tokens): 测试弱密钥或著名的 alg: none 漏洞。

4. Authorization (The “Permission” Gap)

• IDOR (Insecure Direct Object Reference): 将 id=123 改为 id=124，查看是否能获取他人数据。
• Broken Access Control: 以访客身份尝试访问 /admin。
• Mass Assignment: 在个人资料更新的 JSON 负载中加入 "is_admin": true 进行尝试。

5. Client‑Side Vulnerabilities

• XSS: 反射型、存储型以及基于 DOM 的攻击。
• CSRF: 强迫用户在未授权的情况下执行操作（例如更改邮箱）。
• Other Issues: 开放重定向、CORS 配置错误、HTML 注入以及 clickjacking。

6. Server‑Side Vulnerabilities

• Injections: SQLi 与 NoSQLi。
• SSRF: 迫使服务器向内部元数据服务发起请求（如 AWS/GCP）。
• File Uploads: 绕过过滤器上传 Web Shell（PHP/JSP）。
• Execution & Traversal: 路径遍历、SSTI（模板注入）以及操作系统命令注入。