上周三凌晨三点,我蹲在电脑前盯着Burp Suite的拦截记录,突然发现某个请求包里藏着半截base64编码的参数——那是我挖到的第一个高危漏洞。现在想来,这行当真没有捷径,都是拿和颈椎病换的。
初入茅庐的菜鸟阶段
记得2019年刚入行时,我连「越权」和「水平垂直」都分不清。有次在众测平台提交了个反射型XSS,甲方回复「该漏洞无法证明实际危害」时,我还傻乎乎地跟客服理论了半天。
菜鸟必备三件套
- Burp Suite社区版(当时还不会破解专业版)
- 某宝买的二手安卓机(专门测APP漏洞)
- 收藏了200+篇的漏洞复现文章
| 错误认知 | 现实情况 |
| 扫描器跑出漏洞就能交差 | 99%的扫描报告都是误报 |
| 越复杂的漏洞越值钱 | 甲方最怕简单的逻辑漏洞 |
开窍的转折时刻
2021年遇到个银行项目,连续两周颗粒无收。直到有天下暴雨被困在咖啡厅,偶然发现登录接口的图形验证码居然用「星期几」当随机种子。后来在《Web应用安全权威指南》里才明白,这叫伪随机数漏洞。
突破瓶颈的关键动作
- 开始用Python写自动化检测脚本
- 把每个漏洞写成攻击树(Attack Tree)
- 参加CTF比赛锻炼思维
| 旧习惯 | 新方法 |
| 单点测试功能模块 | 绘制全站功能拓扑图 |
| 盲目修改请求参数 | 逆向分析JS文件逻辑 |
形成肌肉记忆的阶段
去年挖某电商平台时,修改购物车数量时的响应包延迟了0.3秒——这该死的职业敏感度让我立刻想到库存系统漏洞。果然,通过并发请求成功触发超卖漏洞,这个案例后来被收录进《渗透测试实战进阶》。
高手特有的工作模式
- 看登录页面先查JS里的加密函数
- 遇到验证码必测OCR识别率
- 看见数字参数就试整数溢出
| 普通测试 | 深度测试 |
| 修改amount参数值 | 尝试科学计数法/负值/超大数 |
| 测试越权访问 | 结合时间戳预测对象ID |
那些没人告诉你的真相
有次在政府网站发现前端验证文件类型,刚兴奋地准备写报告,却发现后端早就做了防护。后来学聪明了,每次必测:改Content-Type、双后缀名、00截断三连击。
凌晨的便利店里,我和同行老张就着关东煮讨论「Cookie的HttpOnly标志对CRSF的影响」时,收银小哥看我们的眼神像在看外星人。这种旁人难以理解的快乐,大概就是坚持下来的理由。
窗外的麻雀又在啄我挂在阳台的测试手机了,这次得记得把模拟点击的辅助功能关掉。打开新的靶场环境,咖啡机传来熟悉的萃取声,显示器上的Burp Proxy依然亮着待命的绿灯。
