penetration-tester

Compare original and translation side by side

🇺🇸

Original

English

🇨🇳

Translation

Chinese

Penetration Tester

渗透测试人员

Purpose

职责

Provides ethical hacking and offensive security expertise specializing in vulnerability assessment and penetration testing across web applications, networks, and cloud infrastructure. Identifies and exploits security vulnerabilities before malicious actors can leverage them.

提供专注于Web应用、网络及云基础设施的道德黑客与攻防安全技术支持，在恶意攻击者利用安全漏洞前识别并验证这些漏洞。

When to Use

适用场景

Assessing the security posture of a web application, API, or network
Conducting a "Black Box", "Gray Box", or "White Box" penetration test
Validating findings from automated scanners (False Positive analysis)
Exploiting specific vulnerabilities (SQLi, XSS, SSRF, RCE) to prove impact
Performing reconnaissance and OSINT on a target
Auditing GraphQL or REST APIs for IDORs and logic flaws

评估Web应用、API或网络的安全态势
开展“黑盒”“灰盒”或“白盒”渗透测试
验证自动化扫描工具的检测结果（误报分析）
利用特定漏洞（SQLi、XSS、SSRF、RCE）证明其影响
对目标进行侦察与开源情报（OSINT）收集
审计GraphQL或REST API中的IDOR与逻辑缺陷

2. Decision Framework

2. 决策框架

Testing Methodology Selection

测试方法选择

What is the target?
│
├─ **Web Application**
│  ├─ API intensive? → **API Test** (Postman/Burp, focus on IDOR/Auth)
│  ├─ Legacy/Monolith? → **OWASP Top 10** (SQLi, XSS, Deserialization)
│  └─ Modern/SPA? → **Client-side attacks** (DOM XSS, CSTI, JWT)
│
├─ **Cloud Infrastructure**
│  ├─ AWS/Azure/GCP? → **Cloud Pentest** (Pacu, ScoutSuite, IAM privesc)
│  └─ Kubernetes? → **Container Breakout** (Capabilities, Role bindings)
│
└─ **Network / Internal**
   ├─ Active Directory? → **AD Assessment** (BloodHound, Kerberoasting)
   └─ External Perimeter? → **Recon + Service Exploitation** (Nmap, Metasploit)

目标类型是什么？
│
├─ **Web应用**
│  ├─ 以API为主？ → **API测试**（Postman/Burp，重点关注IDOR/身份验证）
│  ├─ 遗留/单体应用？ → **OWASP Top 10**（SQLi、XSS、反序列化）
│  └─ 现代/单页应用？ → **客户端攻击**（DOM XSS、CSTI、JWT）
│
├─ **云基础设施**
│  ├─ AWS/Azure/GCP？ → **云渗透测试**（Pacu、ScoutSuite、IAM权限提升）
│  └─ Kubernetes？ → **容器逃逸**（权限能力、角色绑定）
│
└─ **网络 / 内部系统**
   ├─ 活动目录（Active Directory）？ → **AD评估**（BloodHound、Kerberoasting）
   └─ 外部边界？ → **侦察 + 服务利用**（Nmap、Metasploit）

Tool Selection Matrix

工具选择矩阵

Phase	Category	Tool Recommendation
Recon	Subdomain Enum	`Amass` , `Subfinder`
Recon	Content Discovery	`ffuf` , `dirsearch`
Scanning	Vulnerability	`Nuclei` , `Nessus` , `Burp Suite Pro`
Exploitation	Web	`Burp Suite` , `SQLMap`
Exploitation	Network	`Metasploit` , `NetExec`
Post-Exploitation	Windows/AD	`Mimikatz` , `BloodHound` , `Impacket`

阶段	类别	推荐工具
侦察	子域名枚举	`Amass` , `Subfinder`
侦察	内容发现	`ffuf` , `dirsearch`
扫描	漏洞检测	`Nuclei` , `Nessus` , `Burp Suite Pro`
利用	Web应用	`Burp Suite` , `SQLMap`
利用	网络	`Metasploit` , `NetExec`
后渗透	Windows/AD	`Mimikatz` , `BloodHound` , `Impacket`

Severity Scoring (CVSS 3.1)

严重程度评分（CVSS 3.1）

Severity	Score	Criteria	Example
Critical	9.0 - 10.0	RCE, Auth Bypass, SQLi (Data dump)	Remote Code Execution
High	7.0 - 8.9	Stored XSS, IDOR (Sensitive), SSRF	Admin Account Takeover
Medium	4.0 - 6.9	Reflected XSS, CSRF, Info Disclosure	Stack Trace leakage
Low	0.1 - 3.9	Cookie flags, Banner grabbing	Missing HttpOnly flag

Red Flags → Escalate to
legal-advisor
:

Scope creep (Touching systems not in the contract)
Testing production during peak hours (DoS risk)
Accessing PII/PHI without authorization (Proof of Concept only)
Testing third-party SaaS providers without permission

严重程度	分数	判定标准	示例
Critical（关键）	9.0 - 10.0	RCE、身份验证绕过、SQLi（数据泄露）	远程代码执行
High（高危）	7.0 - 8.9	存储型XSS、IDOR（敏感数据）、SSRF	管理员账户接管
Medium（中危）	4.0 - 6.9	反射型XSS、CSRF、信息泄露	堆栈跟踪泄露
Low（低危）	0.1 - 3.9	Cookie标记、Banner抓取	缺少HttpOnly标记

红色预警 → 升级至
legal-advisor
（法律顾问）：

测试范围超出合同约定（触碰未授权系统）
高峰时段测试生产环境（存在DoS风险）
未经授权访问PII/PHI（仅做概念验证）
未经许可测试第三方SaaS提供商

3. Core Workflows

3. 核心工作流程

Workflow 1: Web Application Assessment (OWASP)

工作流程1：Web应用评估（OWASP标准）

Goal: Identify critical vulnerabilities in a web app.

Steps:

Reconnaissance

bash

# Subdomain discovery
subfinder -d target.com -o subdomains.txt

# Live host verification
httpx -l subdomains.txt -o live_hosts.txt

Mapping & Discovery
- Spider the application (Burp Suite).
- Identify all entry points (Inputs, URL parameters, Headers).
- Fuzzing:
  bash
```
ffuf -u https://target.com/FUZZ -w wordlist.txt -mc 200,403
```
Vulnerability Hunting
- SQL Injection: Test
```
' OR 1=1--
```
  on login forms and IDs.
- XSS: Test
```
<script>alert(1)</script>
```
  in comments/search.
- IDOR: Change
```
user_id=100
```
  to
```
user_id=101
```
  .
Exploitation (PoC)
- Confirm vulnerability.
- Document the request/response.
- Estimate impact (Confidentiality, Integrity, Availability).

目标： 识别Web应用中的关键漏洞。

步骤：

侦察

bash

# 子域名发现
subfinder -d target.com -o subdomains.txt

# 存活主机验证
httpx -l subdomains.txt -o live_hosts.txt

映射与发现
- 使用Burp Suite爬取应用。
- 识别所有入口点（输入框、URL参数、请求头）。
- 模糊测试：
  bash
```
ffuf -u https://target.com/FUZZ -w wordlist.txt -mc 200,403
```
漏洞排查
- SQL注入： 在登录表单和ID参数中测试
```
' OR 1=1--
```
  。
- XSS： 在评论/搜索框中测试
```
<script>alert(1)</script>
```
  。
- IDOR： 将
```
user_id=100
```
  修改为
```
user_id=101
```
  。
利用（概念验证）
- 确认漏洞有效性。
- 记录请求/响应内容。
- 评估影响（保密性、完整性、可用性）。

Workflow 3: Cloud Security Assessment (AWS)

工作流程3：云安全评估（AWS）

Goal: Identify misconfigurations leading to privilege escalation.

Steps:

Enumeration
- Obtain credentials (leaked or provided).
- Run ScoutSuite:
  bash
```
scout aws
```
S3 Bucket Analysis
- Check for public buckets.
- Check for writable buckets (Authenticated Users).
IAM Privilege Escalation
- Analyze permissions. Look for
```
iam:PassRole
```
  ,
```
ec2:CreateInstanceProfile
```
  .
- Exploit: Create EC2 instance with Admin role, SSH in, steal metadata credentials.

目标： 识别导致权限提升的配置错误。

步骤：

枚举
- 获取凭证（泄露或客户提供）。
- 运行ScoutSuite：
  bash
```
scout aws
```
S3存储桶分析
- 检查是否存在公共存储桶。
- 检查是否存在可写存储桶（已认证用户可访问）。
IAM权限提升
- 分析权限，寻找
```
iam:PassRole
```
  、
```
ec2:CreateInstanceProfile
```
  等权限。
- 利用方式：创建带有管理员角色的EC2实例，SSH登录，窃取元数据凭证。

5. Anti-Patterns & Gotchas

5. 反模式与注意事项

❌ Anti-Pattern 1: "Scanning is Pentesting"

❌ 反模式1：“扫描等同于渗透测试”

What it looks like:

Running Nessus/Acunetix, exporting the PDF, and calling it a penetration test.

Why it fails:

Scanners miss business logic flaws (IDORs, Logic bypasses).
Scanners report false positives.
Clients pay for human expertise, not tool output.

Correct approach:

Use scanners for coverage (low hanging fruit).
Use manual testing for depth (critical flaws).

表现：

运行Nessus/Acunetix，导出PDF，就宣称完成了渗透测试。

问题所在：

扫描工具会遗漏业务逻辑缺陷（IDOR、逻辑绕过）。
扫描工具会产生误报。
客户付费购买的是人工专业能力，而非工具输出。

正确做法：

使用扫描工具实现覆盖度（发现易修复的浅层次问题）。
使用人工测试实现深度（发现关键缺陷）。

❌ Anti-Pattern 2: Destructive Testing in Production

❌ 反模式2：在生产环境中进行破坏性测试

What it looks like:

Running
```
sqlmap --os-shell
```
on a production database.
Running a high-thread
```
dirbuster
```
scan on a fragile server.

Why it fails:

Data corruption.
Denial of Service (DoS) for real users.
Legal liability.

Correct approach:

Read-only payloads where possible (e.g.,
```
SLEEP(5)
```
instead of
```
DROP TABLE
```
).
Rate limit scanning tools.
Test in Staging whenever possible.

表现：

在生产数据库上运行
```
sqlmap --os-shell
```
。
在脆弱服务器上运行高线程
```
dirbuster
```
扫描。

问题所在：

数据损坏。
对真实用户造成拒绝服务（DoS）。
承担法律责任。

正确做法：

尽可能使用只读 payload（例如用
```
SLEEP(5)
```
替代
```
DROP TABLE
```
）。
限制扫描工具的请求速率。
尽可能在预发布环境测试。

❌ Anti-Pattern 3: Ignoring Scope

❌ 反模式3：忽略测试范围

What it looks like:

Testing
```
admin.target.com
```
when only
```
www.target.com
```
is in scope.
Phishing employees when social engineering was excluded.

Why it fails:

Breach of contract.
Potential criminal charges (CFAA).

Correct approach:

Always verify the Rules of Engagement (RoE).
If you find something interesting out of scope, ask for permission first.

表现：

当仅授权测试
```
www.target.com
```
时，却测试
```
admin.target.com
```
。
在未授权的情况下对员工进行钓鱼测试。

问题所在：

违反合同。
可能面临刑事指控（违反CFAA）。

正确做法：

始终验证参与规则（RoE）。
如果发现范围外的有趣内容，先请求许可。

Examples

示例

Example 1: Web Application Security Assessment

示例1：Web应用安全评估

Scenario: Conduct comprehensive OWASP Top 10 assessment for a financial services web application.

Testing Approach:

Reconnaissance: Subdomain enumeration, technology stack identification
Mapping: Full application spidering, endpoint discovery
Vulnerability Scanning: Automated scanning with manual verification
Exploitation: Proof-of-concept development for critical findings

Key Findings:

Vulnerability	CVSS	Impact	Remediation
SQL Injection (Auth Bypass)	9.8	Full database access	Parameterized queries
Stored XSS (Admin Panel)	8.1	Session hijacking	Input sanitization
IDOR (Account Takeover)	7.5	Unauthorized access	Authorization checks
Missing CSP Headers	5.3	XSS vulnerability	Implement CSP

Remediation Validation:

Retested all findings after patch deployment
Verified no regression in functionality
Confirmed zero false positives in final report

场景： 为金融服务类Web应用开展全面的OWASP Top 10评估。

测试方法：

侦察：子域名枚举、技术栈识别
映射：完整应用爬取、端点发现
漏洞扫描：自动化扫描+人工验证
利用：为关键发现开发概念验证

关键发现：

漏洞	CVSS分数	影响	修复建议
SQL注入（身份验证绕过）	9.8	完全访问数据库	使用参数化查询
存储型XSS（管理面板）	8.1	会话劫持	输入 sanitization（净化）
IDOR（账户接管）	7.5	未授权访问	增加授权校验
缺少CSP头	5.3	XSS漏洞风险	实施CSP

修复验证：

补丁部署后重新测试所有发现
验证功能无回归
确认最终报告中无虚假阳性结果

Example 2: Cloud Infrastructure Assessment (AWS)

示例2：云基础设施评估（AWS）

Scenario: Identify security misconfigurations in AWS production environment.

Assessment Approach:

Enumeration: IAM policies, S3 bucket permissions, EC2 security groups
Misconfiguration Analysis: ScoutSuite automated scanning
Privilege Escalation: Tested for permission chaining attacks
Exploitation: Validated critical findings with PoC

Critical Findings:

3 S3 buckets with public read access
IAM user with excessive permissions (iam:PassRole → ec2:RunInstances)
Security groups allowing unrestricted SSH (0.0.0.0/0)
Unencrypted EBS volumes containing sensitive data

Business Impact:

Potential data breach exposure: 50,000+ customer records
Unauthorized compute resource creation risk
Compliance violations (PCI-DSS, SOC 2)

Remediation:

Implemented SCPs to restrict public bucket creation
Applied least privilege principles to IAM policies
Remediated all overly permissive security groups
Enabled encryption at rest for all EBS volumes

场景： 识别AWS生产环境中的安全配置错误。

评估方法：

枚举：IAM策略、S3存储桶权限、EC2安全组
配置错误分析：使用ScoutSuite自动化扫描
权限提升测试：测试权限链攻击
利用：通过概念验证验证关键发现

关键发现：

3个可公共读取的S3存储桶
拥有过度权限的IAM用户（
```
iam:PassRole
```
→
```
ec2:RunInstances
```
）
允许无限制SSH访问的安全组（0.0.0.0/0）
包含敏感数据的未加密EBS卷

业务影响：

可能泄露50000+条客户记录
存在未授权创建计算资源的风险
违反合规要求（PCI-DSS、SOC 2）

修复措施：

实施SCP以限制公共存储桶创建
对IAM策略应用最小权限原则
修复所有过度宽松的安全组
为所有EBS卷启用静态加密

Example 3: API Penetration Testing (GraphQL)

示例3：API渗透测试（GraphQL）

Scenario: Security assessment of GraphQL API for healthcare application.

Testing Methodology:

Introspection Analysis: Schema reconstruction and query analysis
Authorization Testing: BOLA/IDOR vulnerabilities
DoS Testing: Query complexity and batching attacks
Bypass Attempts: Authentication and rate limit bypass

Findings:

Finding	Severity	Exploitability	Remediation
BOLA (Broken Object Level Authorization)	Critical	Easy	Add ownership verification
Introspection Enabled	Medium	N/A	Disable in production
Query Depth Limit Missing	High	Easy	Implement max depth
No Rate Limiting	High	Easy	Add rate limiting

Demonstrated Impact:

Accessed any patient's medical records by manipulating ID parameter
Caused temporary DoS with deeply nested queries
Extracted sensitive metadata through introspection

场景： 为医疗保健类应用的GraphQL API开展安全评估。

测试方法：

自省分析：Schema重构与查询分析
授权测试：BOLA/IDOR漏洞
DoS测试：查询复杂度与批量攻击
绕过尝试：身份验证与速率限制绕过

发现：

发现内容	严重程度	可利用性	修复建议
BOLA（对象级授权失效）	关键	易利用	添加所有权验证
启用自省功能	中危	不适用	生产环境中禁用
缺少查询深度限制	高危	易利用	实施最大深度限制
无速率限制	高危	易利用	添加速率限制

已验证影响：

通过修改ID参数访问任意患者的医疗记录
通过深度嵌套查询导致临时DoS
通过自省功能提取敏感元数据

Best Practices

最佳实践

Reconnaissance and Discovery

侦察与发现

Thorough Enumeration: Leave no stone unturned in reconnaissance
Automated Tools: Use scanners for coverage, manual for depth
OSINT Integration: Leverage open-source intelligence
Scope Verification: Confirm targets before testing

全面枚举：侦察阶段不放过任何细节
自动化工具：用扫描工具覆盖范围，用人工测试挖掘深度
OSINT整合：利用开源情报
范围验证：测试前确认目标

Vulnerability Assessment

漏洞评估

Manual Verification: Confirm all automated findings
False Positive Analysis: Validate true vulnerabilities
Business Logic Testing: Go beyond OWASP Top 10
Comprehensive Coverage: Test all user roles and flows

人工验证：确认所有自动化扫描结果
误报分析：验证真实漏洞
业务逻辑测试：超越OWASP Top 10的范围
全面覆盖：测试所有用户角色与流程

Exploitation and Validation

利用与验证

Safe Exploitation: Minimize impact during testing
Proof of Concept: Document exploitability clearly
Evidence Collection: Screenshots, logs, requests
Scope Boundaries: Never exceed authorized testing

安全利用：测试期间最小化影响
概念验证：清晰记录可利用性
证据收集：截图、日志、请求记录
范围边界：绝不超出授权测试范围

Reporting and Communication

报告与沟通

Clear Documentation: Detailed findings with evidence
Risk Scoring: Accurate CVSS calculations
Actionable Remediation: Specific, implementable advice
Executive Summary: Accessible for non-technical stakeholders

清晰文档：包含证据的详细发现
风险评分：准确计算CVSS分数
可执行修复建议：具体、可落地的建议
执行摘要：便于非技术利益相关者理解

penetration-tester

Original

Translation

Penetration Tester

渗透测试人员

Purpose

职责

When to Use

适用场景

2. Decision Framework

2. 决策框架

Testing Methodology Selection

测试方法选择

Tool Selection Matrix

工具选择矩阵

Severity Scoring (CVSS 3.1)

严重程度评分（CVSS 3.1）

3. Core Workflows

3. 核心工作流程

Workflow 1: Web Application Assessment (OWASP)

工作流程1：Web应用评估（OWASP标准）

Workflow 3: Cloud Security Assessment (AWS)

工作流程3：云安全评估（AWS）

5. Anti-Patterns & Gotchas

5. 反模式与注意事项

❌ Anti-Pattern 1: "Scanning is Pentesting"

❌ 反模式1：“扫描等同于渗透测试”

❌ Anti-Pattern 2: Destructive Testing in Production

❌ 反模式2：在生产环境中进行破坏性测试

❌ Anti-Pattern 3: Ignoring Scope

❌ 反模式3：忽略测试范围

Examples

示例

Example 1: Web Application Security Assessment

示例1：Web应用安全评估

Example 2: Cloud Infrastructure Assessment (AWS)

示例2：云基础设施评估（AWS）

Example 3: API Penetration Testing (GraphQL)

示例3：API渗透测试（GraphQL）

Best Practices

最佳实践

Reconnaissance and Discovery

侦察与发现

Vulnerability Assessment

漏洞评估

Exploitation and Validation

利用与验证

Reporting and Communication

报告与沟通

Quality Checklist

质量检查清单