渗透测试

2026-02-11 15:43:48

利用漏洞库检索信息结合手工方式对目标网站进行漏洞分析【实验目的】理解并掌握如何通过在线漏洞库查询并结合手工测试的方式对目标网站进行漏洞分析。

【知识点】CVE、CNVD、CNNVD、Exploit-DB、BurpSuite。

【实验原理】漏洞库是一个收集和维护各种软件、系统和服务中已知安全漏洞的数据库，其中包含有关已知漏洞的详细信息，这些信息通常包括漏洞描述、受影响的版本、漏洞的危害级别、修复建议等。漏洞库的主要目的是帮助渗透测试人员、安全研究人员、系统管理员和开发人员识别和解决系统中的安全问题。通过漏洞库，渗透测试人员可以了解各种安全漏洞的细节以及如何处理这些漏洞，判断甲方公司目标系统存在的已知漏洞，进一步规划渗透攻击路线,常见的漏洞库包括CVE、CNVD、CNNVD、Exploit-DB等。

注：以下操作在下线完成。

1.在浏览器中输入：https://cve.mitre.org 访问CVE官网，如下图所示。

在CVE漏洞库中检索DedeCMS v5.7信息，获取该版本的CMS存在CVE-2018-10375、CVE-2020-16632、CVE-2021-32073等多个漏洞，如下图所示。

在CVE漏洞库中检索Drupal 7.1信息，可以获取当前版本CMS存在CVE-2023-38697、CVE-2023-33939、CVE-2023-33937等多个漏洞，如下图示。

2.使用在线漏洞库CNVD和CNNVD进行检索漏洞（此步骤需联网进行操作）新建浏览器页面在浏览器中输入：http://www.cnnvd.org.cn 访问CNNVD官网，如下图所示。