csrf工具源码

Ⅰ Web应用安全威胁与防治——基于OWASP Top 10与ESAPI的目录

第1篇 引子
故事一：家有一IT，如有一宝 2
故事二：微博上的蠕虫 3
故事三：明文密码 5
故事四：IT青年VS禅师 5
第2篇 基础篇
第1章 Web应用技术 8
1.1 HTTP简介 8
1.2 HTTPS简介 10
1.3 URI 11
1.3.1 URL 11
1.3.2 URI/URL/URN 12
1.3.3 URI比较 13
1.4 HTTP消息 13
1.4.1 HTTP方法14
1.4.2 HTTP状态码 19
1.5 HTTP Cookie20
1.5.1 HTTP Cookie的作用22
1.5.2 HTTP Cookie的缺点23
1.6 HTTP session23
1.7 HTTP的安全 24
第2章 OWASP 27
2.1 OWASP简介27
2.2 OWASP风险评估方法28
2.3 OWASP Top 10 34
2.4 ESAPI（Enterprise Security API） 35
第3篇 工具篇
第3章 Web服务器工具简介 38
3.1 Apache 38
3.2 其他Web服务器 39
第4章 Web浏览器以及调试工具 42
4.1 浏览器简介 42
4.1.1 基本功能 42
4.1.2 主流浏览器 43
4.1.3 浏览器内核 44
4.2 开发调试工具 45
第5章 渗透测试工具 47
5.1 Fiddler 47
5.1.1 工作原理 47
5.1.2 如何捕捉HTTPS会话 48
5.1.3 Fiddler功能介绍 49
5.1.4 Fiddler扩展功能 56
5.1.5 Fiddler第三方扩展功能 56
5.2 ZAP 58
5.2.1 断点调试 60
5.2.2 编码/解码 61
5.2.3 主动扫描 62
5.2.4 Spider63
5.2.5 暴力破解 64
5.2.6 端口扫描 65
5.2.7 Fuzzer66
5.2.8 API 66
5.3 WebScrab 67
5.3.1 HTTP代理67
5.3.2 Manual Request 69
5.3.3 Spider70
5.3.4 Session ID分析71
5.3.5 Bean Shell的支持 71
5.3.6 Web编码和解码 73
第6章 扫描工具简介 74
6.1 万能的扫描工具——WebInspect 74
6.1.1 引言 74
6.1.2 WebInspect特性 74
6.1.3 环境准备 74
6.1.4 HP WebInspect总览 76
6.1.5 Web网站测试 79
6.1.6 企业测试 86
6.1.7 生成报告 88
6.2 开源扫描工具——w3af 91
6.2.1 w3af概述 91
6.2.2 w3af环境配置 92
6.2.3 w3af使用示例 93
6.3 被动扫描的利器——Ratproxy 94
6.3.1 Ratproxy概述 94
6.3.2 Ratproxy环境配置 95
6.3.3 Ratproxy运行 96
第7章 漏洞学习网站 98
7.1 WebGoat 98
7.2 DVWA 99
7.3 其他的漏洞学习网站 99
第4篇 攻防篇
第8章 代码注入 102
8.1 注入的分类 104
8.1.1 OS命令注入 104
8.1.2 XPath注入109
8.1.3 LDAP注入114
8.1.4 SQL注入 118
8.1.5 JSON注入131
8.1.6 URL参数注入 133
8.2 OWASP ESAPI与注入问题的预防 135
8.2.1 命令注入的ESAPI预防 135
8.2.2 XPath注入的ESAPI预防 138
8.2.3 LDAP注入的ESAPI预防 138
8.2.4 SQL注入的ESAPI预防 141
8.2.5 其他注入的ESAPI预防 143
8.3 注入预防检查列表 143
8.4 小结 144
第9章 跨站脚本（XSS）146
9.1 XSS简介 146
9.2 XSS分类 146
9.2.1 反射式XSS 146
9.2.2 存储式XSS 148
9.2.3 基于DOM的XSS 149
9.2.4 XSS另一种分类法 151
9.3 XSS危害 154
9.4 XSS检测 156
9.4.1 手动检测 156
9.4.2 半自动检测 158
9.4.3 全自动检测 158
9.5 XSS的预防 159
9.5.1 一刀切 159
9.5.2 在服务器端预防 160
9.5.3 在客户端预防 168
9.5.4 富文本框的XSS预防措施 170
9.5.5 CSS 172
9.5.6 FreeMarker174
9.5.7 OWASP ESAPI与XSS的预防 177
9.6 XSS检查列表 183
9.7 小结 184
第10章 失效的身份认证和会话管理 185
10.1 身份认证和会话管理简介185
10.2 谁动了我的琴弦——会话劫持186
10.3 请君入瓮——会话固定 188
10.4 我很含蓄——非直接会话攻击191
10.5 如何测试 199
10.5.1 会话固定测试 199
10.5.2 用Web Scrab分析会话ID 200
10.6 如何预防会话攻击 202
10.6.1 如何防治固定会话 202
10.6.2 保护你的会话令牌 204
10.7 身份验证 208
10.7.1 双因子认证流程图 209
10.7.2 双因子认证原理说明 210
10.7.3 隐藏在QR Code里的秘密 211
10.7.4 如何在服务器端实现双因子认证 212
10.7.5 我没有智能手机怎么办 216
10.8 身份认证设计的基本准则216
10.8.1 密码长度和复杂性策略 216
10.8.2 实现一个安全的密码恢复策略 217
10.8.3 重要的操作应通过HTTPS传输 217
10.8.4 认证错误信息以及账户锁定 219
10.9 检查列表 219
10.9.1 身份验证和密码管理检查列表 219
10.9.2 会话管理检查列表 220
10.10 小结 221
第11章 不安全的直接对象引用 222
11.1 坐一望二——直接对象引用 222
11.2 不安全直接对象引用的危害 224
11.3 其他可能的不安全直接对象引用 224
11.4 不安全直接对象引用的预防 225
11.5 如何使用OWASP ESAPI预防 227
11.6 直接对象引用检查列表 230
11.7 小结 230
第12章 跨站请求伪造（CSRF） 232
12.1 CSRF简介 232
12.2 谁动了我的奶酪232
12.3 跨站请求伪造的攻击原理233
12.4 剥茧抽丝见真相235
12.5 其他可能的攻击场景236
12.5.1 家用路由器被CSRF攻击 236
12.5.2 别以为用POST你就躲过了CSRF 238
12.5.3 写一个自己的CSRF Redirector 241
12.5.4 利用重定向欺骗老实人 243
12.6 跨站请求伪造的检测245
12.6.1 手工检测 245
12.6.2 半自动CSRFTester 246
12.7 跨站请求伪造的预防250
12.7.1 用户需要知道的一些小技巧 250
12.7.2 增加一些确认操作 250
12.7.3 重新认证 250
12.7.4 加入验证码（CAPTCHA） 250
12.7.5 ESAPI解决CSRF 250
12.7.6 CSRFGuard 256
12.8 CSRF检查列表 260
12.9 小结 261
第13章 安全配置错误 262
13.1 不能说的秘密——Google hacking 262
13.2 Tomcat那些事 264
13.3 安全配置错误的检测与预防 264
13.3.1 系统配置 264
13.3.2 Web应用服务器的配置 268
13.3.3 数据库 282
13.3.4 日志配置 284
13.3.5 协议 285
13.3.6 开发相关的安全配置 291
13.3.7 编译器的安全配置 302
13.4 安全配置检查列表 305
13.5 小结 307
第14章 不安全的加密存储 308
14.1 关于加密 310
14.1.1 加密算法简介 310
14.1.2 加密算法作用 312
14.1.3 加密分类 313
14.2 加密数据分类 314
14.3 加密数据保护 315
14.3.1 密码的存储与保护 315
14.3.2 重要信息的保护 323
14.3.3 密钥的管理 336
14.3.4 数据的完整性 339
14.3.5 云系统存储安全 342
14.3.6 数据保护的常犯错误 343
14.4 如何检测加密存储数据的安全性 344
14.4.1 审查加密内容 344
14.4.2 已知答案测试（Known Answer Test）344
14.4.3 自发明加密算法的检测 345
14.4.4 AES加密算法的测试 345
14.4.5 代码审查 346
14.5 如何预防不安全的加密存储的数据347
14.6 OWASP ESAPI与加密存储 348
14.6.1 OWASP ESAPI与随机数 353
14.6.2 OWASP ESAPI 与FIPS 140-2 354
14.7 加密存储检查列表 355
14.8 小结 355
第15章 没有限制的URL访问357
15.1 掩耳盗铃——隐藏（Disable）页面按钮357
15.2 权限认证模型 358
15.2.1 自主型访问控制 360
15.2.2 强制型访问控制 360
15.2.3 基于角色的访问控制 361
15.3 绕过认证 363
15.3.1 网络嗅探 364
15.3.2 默认或者可猜测用户账号 364
15.3.3 直接访问内部URL364
15.3.4 修改参数绕过认证 365
15.3.5 可预测的SessionID365
15.3.6 注入问题 365
15.3.7 CSRF 365
15.3.8 绕过认证小结 366
15.4 绕过授权验证 367
15.4.1 水平越权 368
15.4.2 垂直越权 369
15.5 文件上传与下载373
15.5.1 文件上传 373
15.5.2 文件下载和路径遍历 377
15.6 静态资源 382
15.7 后台组件之间的认证383
15.8 SSO 385
15.9 OWASP ESAPI与授权 386
15.9.1 AccessController的实现387
15.9.2 一个AccessController的代码示例390
15.9.3 我们还需要做些什么 391
15.10 访问控制检查列表 393
15.11 小结 393
第16章 传输层保护不足 395
16.1 卧底的故事——对称加密和非对称加密395
16.2 明文传输问题 396
16.3 有什么危害398
16.3.1 会话劫持 398
16.3.2 中间人攻击 399
16.4 预防措施 399
16.4.1 密钥交换算法 400
16.4.2 对称加密和非对称加密结合 401
16.4.3 SSL/TLS 406
16.5 检查列表 423
16.6 小结 423
第17章 未验证的重定向和转发 425
17.1 三角借贷的故事——转发和重定向425
17.1.1 URL转发425
17.1.2 URL重定向 426
17.1.3 转发与重定向的区别 429
17.1.4 URL 重定向的实现方式 430
17.2 危害 438
17.3 如何检测 439
17.4 如何预防 440
17.4.1 OWASP ESAPI与预防 441
17.5 重定向和转发检查列表 443
17.6 小结 443
第5篇 安全设计、编码十大原则
第18章 安全设计十大原则 448
设计原则1——简单易懂 448
设计原则2——最小特权 448
设计原则3——故障安全化450
设计原则4——保护最薄弱环节451
设计原则5——提供深度防御 452
设计原则6——分隔 453
设计原则7——总体调节 454
设计原则8——默认不信任454
设计原则9——保护隐私 455
设计原则10——公开设计，不要假设隐藏秘密就是安全 455
第19章 安全编码十大原则 457
编码原则1——保持简单 457
编码原则2——验证输入 458
编码原则3——注意编译器告警459
编码原则4——框架和设计要符合安全策略 459
编码原则5——默认拒绝 460
编码原则6——坚持最小权限原则 462
编码原则7——净化发送到其他系统的数据 463
编码原则8——深度预防 464
编码原则9——使用有效的质量保证技术464
编码原则10——采用一个安全编码规范 465
媒体评论
这是一本带点酷酷的工程师范儿和人文气质的“硬货”。作为一名资深IT文艺老人，特别喜欢这种带着思想气息却又有着丰富案例娓娓道来的实用信息安全书，过去却往往只在国外作者中读到。正如书中开头的引子说的那样：“家有IT，如有一宝。”那么在Web安全日益火爆的今天，你会不会在读完这本书后的未来也成为传说中让我们顶礼膜拜的大牛呢^-^
——IDF威慑防御实验室益云（公益互联网）社会创新中心联合创始人万涛@黑客老鹰
伴随互联网的高速发展，基于B/S架构的业务系统对安全要求越来越高，安全从业人员面临空前的压力。如何让安全从业人员快速掌握Web应用安全？本书以诙谐、幽默的语言，精彩、丰富的实例，帮助安全从业人员从端到端理解Web应用安全。不失为近几年Web应用安全书籍的上佳之作。
——OWASP中国区主席SecZone高级安全顾问 RIP
很乐意看到有人将自身的资深安全积累和OWASP的最佳实践出版成书，内容严谨细致却不乏生动。这本信息安全领域的实用手册将成为银基安全致力于互联网安全的参考指导书目之一，我们广泛的电信、银行、保险、证券和政府部门等客户都会从中受益。
——上海银基信息安全技术有限公司首席技术官胡绍勇（Kurau）
随着安全访问控制策略ACL的普及应用，互联网企业目前面临的安全风险面主要集中在Web服务层。其中Web应用系统在架构设计、开发编码过程中是安全漏洞和风险引入的主要阶段，而普遍地我们的架构、开发、测试岗位在安全技能与意识上恰恰是相对比较欠缺的。本书详细介绍了Web安全基础知识、测试平台与方法，常见漏洞形式与原理，并结合OWASP最佳实践经验给出预防建议、设计和编码原则等。书中举例生动形象，图文代码并茂，步骤归纳清晰。特别推荐给广大Web开发、测试、安全岗位的朋友们。
—— 中国金山软件集团信息安全负责人程冲
在网络攻击愈加复杂，手段日益翻新的今天，Web攻击依然是大多数攻击者首选的入侵手段。反思CSDN泄密及新浪微博蠕虫事件，Web应用的安全突显其重要性。OWASP作为全球领先的Web应用安全研究团队，透过本书将Web应用安全的威胁、防御以及相关的工具进行了详细的探讨和研究。详尽的操作步骤说明是本书的亮点之一，这些详实且图文并茂的内容为逐步深入学习Web应用安全提供了很好的帮助。我衷心希望这本书能够成为信息安全专业的在校生以及应用安全相关从业人员的学习指导书。
-- 上海交通大学信息安全工程学院施勇(CISSP CISA)

Ⅱ 渗透测试应该怎么做呢

01、信息收集
1、域名、IP、端口
域名信息查询：信息可用于后续渗透
IP信息查询：确认域名对应IP，确认IP是否真实，确认通信是否正常
端口信息查询：NMap扫描，确认开放端口
发现：一共开放两个端口，80为web访问端口，3389为windows远程登陆端口，嘿嘿嘿，试一下
发现：是Windows Server 2003系统，OK，到此为止。
2、指纹识别
其实就是网站的信息。比如通过可以访问的资源，如网站首页，查看源代码:
看看是否存在文件遍历的漏洞（如图片路径，再通过…/遍历文件）
是否使用了存在漏洞的框架（如果没有现成的就自己挖）
02、漏洞扫描
1、主机扫描
Nessus
经典主机漏扫工具，看看有没有CVE漏洞：
2、Web扫描
AWVS（Acunetix | Website Security Scanner）扫描器
PS：扫描器可能会对网站构成伤害，小心谨慎使用。
03、渗透测试
1、弱口令漏洞
漏洞描述
目标网站管理入口（或数据库等组件的外部连接）使用了容易被猜测的简单字符口令、或者是默认系统账号口令。
渗透测试
① 如果不存在验证码，则直接使用相对应的弱口令字典使用burpsuite 进行爆破
② 如果存在验证码，则看验证码是否存在绕过、以及看验证码是否容易识别
风险评级：高风险
安全建议
① 默认口令以及修改口令都应保证复杂度，比如：大小写字母与数字或特殊字符的组合，口令长度不小于8位等
② 定期检查和更换网站管理口令
2、文件下载（目录浏览）漏洞
漏洞描述
一些网站由于业务需求，可能提供文件查看或下载的功能，如果对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意的文件，可以是源代码文件、敏感文件等。
渗透测试
① 查找可能存在文件包含的漏洞点，比如js，css等页面代码路径
② 看看有没有文件上传访问的功能
③ 采用…/来测试能否夸目录访问文件
风险评级：高风险
安全建议
① 采用白名单机制限制服务器目录的访问，以及可以访问的文件类型(小心被绕过)
② 过滤【./】等特殊字符
③ 采用文件流的访问返回上传文件（如用户头像），不要通过真实的网站路径。
示例：tomcat，默认关闭路径浏览的功能：
<param-name>listings</param-name>
<param-value>false</param-value>

3、任意文件上传漏洞
漏洞描述
目标网站允许用户向网站直接上传文件，但未对所上传文件的类型和内容进行严格的过滤。

渗透测试

① 收集网站信息，判断使用的语言（PHP，ASP，JSP）
② 过滤规则绕过方法：文件上传绕过技巧

风险评级：高风险

安全建议

① 对上传文件做有效文件类型判断，采用白名单控制的方法，开放只允许上传的文件型式；

② 文件类型判断，应对上传文件的后缀、文件头、图片类的预览图等做检测来判断文件类型，同时注意重命名（Md5加密）上传文件的文件名避免攻击者利用WEB服务的缺陷构造畸形文件名实现攻击目的；

③ 禁止上传目录有执行权限；

④ 使用随机数改写文件名和文件路径，使得用户不能轻易访问自己上传的文件。

4、命令注入漏洞

漏洞描述

目标网站未对用户输入的字符进行特殊字符过滤或合法性校验，允许用户输入特殊语句，导致各种调用系统命令的web应用，会被攻击者通过命令拼接、绕过黑名单等方式，在服务端运行恶意的系统命令。

渗透测试

风险评级：高风险

安全建议

① 拒绝使用拼接语句的方式进行参数传递；

② 尽量使用白名单的方式（首选方式）；

③ 过滤危险方法、特殊字符，如：【|】【&】【；】【’】【"】等

5、SQL注入漏洞

漏洞描述

目标网站未对用户输入的字符进行特殊字符过滤或合法性校验，允许用户输入特殊语句查询后台数据库相关信息

渗透测试

① 手动测试：判断是否存在SQL注入，判断是字符型还是数字型，是否需要盲注

② 工具测试：使用sqlmap等工具进行辅助测试

风险评级：高风险

安全建议

① 防范SQL注入攻击的最佳方式就是将查询的逻辑与其数据分隔，如Java的预处理，PHP的PDO

② 拒绝使用拼接SQL的方式

6、跨站脚本漏洞

漏洞描述

当应用程序的网页中包含不受信任的、未经恰当验证或转义的数据时，或者使用可以创建 HTML或JavaScript 的浏览器 API 更新现有的网页时，就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本，并劫持用户会话、破坏网站或将用户重定向到恶意站点。

三种XSS漏洞：

① 存储型：用户输入的信息被持久化，并能够在页面显示的功能，都可能存在存储型XSS，例如用户留言、个人信息修改等。

② 反射型：URL参数需要在页面显示的功能都可能存在反射型跨站脚本攻击，例如站内搜索、查询功能。

③ DOM型：涉及DOM对象的页面程序，包括：document.URL、document.location、document.referrer、window.location等

渗透测试

存储型，反射型，DOM型

风险评级：高风险

安全建议

① 不信任用户提交的任何内容，对用户输入的内容，在后台都需要进行长度检查，并且对【<】【>】【"】【’】【&】等字符做过滤
② 任何内容返回到页面显示之前都必须加以html编码，即将【<】【>】【"】【’】【&】进行转义。

7、跨站请求伪造漏洞

漏洞描述

CSRF，全称为Cross-Site Request Forgery，跨站请求伪造，是一种网络攻击方式，它可以在用户毫不知情的情况下，以用户的名义伪造请求发送给被攻击站点，从而在未授权的情况下进行权限保护内的操作，如修改密码，转账等。

渗透测试

风险评级：中风险（如果相关业务极其重要，则为高风险）

安全建议

① 使用一次性令牌：用户登录后产生随机token并赋值给页面中的某个Hidden标签，提交表单时候，同时提交这个Hidden标签并验证，验证后重新产生新的token，并赋值给hidden标签；

② 适当场景添加验证码输入：每次的用户提交都需要用户在表单中填写一个图片上的随机字符串；

③ 请求头Referer效验，url请求是否前部匹配Http(s)😕/ServerHost

④ 关键信息输入确认提交信息的用户身份是否合法，比如修改密码一定要提供原密码输入

⑤ 用户自身可以通过在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的cookie；

8、内部后台地址暴露

漏洞描述

一些仅被内部访问的地址，对外部暴露了，如：管理员登陆页面；系统监控页面；API接口描述页面等，这些会导致信息泄露，后台登陆等地址还可能被爆破。

渗透测试

① 通过常用的地址进行探测，如login.html，manager.html，api.html等；

② 可以借用burpsuite和常规页面地址字典，进行扫描探测

风险评级：中风险

安全建议

① 禁止外网访问后台地址

② 使用非常规路径（如对md5加密）

9、信息泄露漏洞

漏洞描述

① 备份信息泄露：目标网站未及时删除编辑器或者人员在编辑文件时，产生的临时文件，或者相关备份信息未及时删除导致信息泄露。

② 测试页面信息泄露：测试界面未及时删除，导致测试界面暴露，被他人访问。

③ 源码信息泄露：目标网站文件访问控制设置不当，WEB服务器开启源码下载功能，允许用户访问网站源码。

④ 错误信息泄露：目标网站WEB程序和服务器未屏蔽错误信息回显，页面含有CGI处理错误的代码级别的详细信息，例如SQL语句执行错误原因，PHP的错误行数等。

⑤ 接口信息泄露：目标网站接口访问控制不严，导致网站内部敏感信息泄露。

渗透测试

① 备份信息泄露、测试页面信息泄露、源码信息泄露，测试方法：使用字典，爆破相关目录，看是否存在相关敏感文件

② 错误信息泄露，测试方法：发送畸形的数据报文、非正常的报文进行探测，看是否对错误参数处理妥当。

③ 接口信息泄露漏洞，测试方法：使用爬虫或者扫描器爬取获取接口相关信息，看目标网站对接口权限是否合理

风险评级：一般为中风险，如果源码大量泄漏或大量客户敏感信息泄露。

安全建议

① 备份信息泄露漏洞：删除相关备份信息，做好权限控制

② 测试页面信息泄露漏洞：删除相关测试界面，做好权限控制

③ 源码信息泄露漏洞：做好权限控制

④ 错误信息泄露漏洞：将错误信息对用户透明化，在CGI处理错误后可以返回友好的提示语以及返回码。但是不可以提示用户出错的代码级别的详细原因

⑤ 接口信息泄露漏洞：对接口访问权限严格控制

10、失效的身份认证

漏洞描述

通常，通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌， 或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。

渗透测试

① 在登陆前后观察，前端提交信息中，随机变化的数据，总有与当前已登陆用户进行绑定的会话唯一标识，常见如cookie

② 一般现在网站没有那种简单可破解的标识，但是如果是跨站认证，单点登录场景中，可能为了开发方便而简化了身份认证

风险评级：高风险

安全建议

① 使用强身份识别，不使用简单弱加密方式进行身份识别；

② 服务器端使用安全的会话管理器，在登录后生成高度复杂的新随机会话ID。会话ID不能在URL中，可以安全地存储，在登出、闲置超时后使其失效。

11、失效的访问控制

漏洞描述

未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据，例如：访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。

渗透测试

① 登入后，通过burpsuite 抓取相关url 链接，获取到url 链接之后，在另一个浏览器打开相关链接，看能够通过另一个未登入的浏览器直接访问该功能点。

② 使用A用户登陆，然后在另一个浏览器使用B用户登陆，使用B访问A独有的功能，看能否访问。

风险评级：高风险

安全建议

① 除公有资源外，默认情况下拒绝访问非本人所有的私有资源；

② 对API和控制器的访问进行速率限制，以最大限度地降低自动化攻击工具的危害；

③ 当用户注销后，服务器上的Cookie，JWT等令牌应失效；

④ 对每一个业务请求，都进行权限校验。

12、安全配置错误

漏洞描述

应用程序缺少适当的安全加固，或者云服务的权限配置错误。

① 应用程序启用或安装了不必要的功能（例如：不必要的端口、服务、网页、帐户或权限）。

② 默认帐户的密码仍然可用且没有更改。

③ 错误处理机制向用户披露堆栈跟踪或其他大量错误信息。

④ 对于更新的系统，禁用或不安全地配置最新的安全功能。

⑤ 应用程序服务器、应用程序框架（如：Struts、Spring、ASP.NET）、库文件、数据库等没有进行相关安全配置。

渗透测试

先对应用指纹等进行信息搜集，然后针对搜集的信息，看相关应用默认配置是否有更改，是否有加固过；端口开放情况，是否开放了多余的端口；

风险评级：中风险

安全建议

搭建最小化平台，该平台不包含任何不必要的功能、组件、文档和示例。移除或不安装不适用的功能和框架。在所有环境中按照标准的加固流程进行正确安全配置。

13、使用含有已知漏洞的组件

漏洞描述

使用了不再支持或者过时的组件。这包括：OS、Web服务器、应用程序服务器、数据库管理系统（DBMS）、应用程序、API和所有的组件、运行环境和库。

渗透测试

① 根据前期信息搜集的信息，查看相关组件的版本，看是否使用了不在支持或者过时的组件。一般来说，信息搜集，可通过http返回头、相关错误信息、应用指纹、端口探测（Nmap）等手段搜集。

② Nmap等工具也可以用于获取操作系统版本信息

③ 通过CVE，CNVD等平台可以获取当前组件版本是否存在漏洞

风险评级：按照存在漏洞的组件的安全风险值判定当前风险。

安全建议

① 移除不使用的依赖、不需要的功能、组件、文件和文档；

② 仅从官方渠道安全的获取组件(尽量保证是最新版本)，并使用签名机制来降低组件被篡改或加入恶意漏洞的风险；

③ 监控那些不再维护或者不发布安全补丁的库和组件。如果不能打补丁，可以考虑部署虚拟补丁来监控、检测或保护。
详细学习可参考：