范围与授权

• 明确授权域名、IP、子域、环境、API、账号、测试时间窗、禁止动作。
• 区分 in-scope、out-of-scope、第三方资源、CDN、云厂商托管资产。
• 记录证据来源、时间、请求方式、是否主动触达目标。 范围与授权 定义： 范围与授权是 Web 安全信息收集开始前必须确认的边界规则，用来说明哪些资产、环境、接口、账号和操作被允许，哪些资产、环境、接口、账号和操作不被允许。 作用： 作用是保证信息收集行为合法、可控、可复盘，避免把未授权资产、第三方服务、真实生产数据或敏感业务系统误当作测试目标。 实践： 实践时先拿到明确的授权说明，再确认域名、IP、子域、环境、API、账号、测试时间窗和禁止动作，并在收集过程中持续区分 in-scope、out-of-scope、第三方资源、CDN 资源和云厂商托管资产。

授权域名 定义： 授权域名是指在测试授权中明确允许进行信息收集和安全测试的主域名、业务域名或指定站点域名，例如 example.com、www.example.com、shop.example.com。 作用： 作用是确定 Web 信息收集的起始边界，避免因为域名相似、品牌相似、历史归属相似而误测不属于授权范围的站点。 实践： 实践时记录授权域名列表，确认是否包含泛域名 *.example.com，确认是否排除某些高敏感子域或第三方托管域名，并把后续发现的新域名标记为已授权、未授权或待确认。

授权 IP 定义： 授权 IP 是指在测试授权中明确允许访问、探测或扫描的服务器 IP、IP 段或云资产地址，例如单个公网 IP、内网 IP、CIDR 网段或指定负载均衡地址。 作用： 作用是确定网络层和服务层测试边界，避免对 CDN 节点、云厂商公共节点、第三方 SaaS 节点或其他客户共享基础设施进行未授权扫描。 实践： 实践时记录 IP、网段、归属、解析域名、是否生产环境、是否允许端口扫描和服务识别，域名解析得到的 IP 不能自动视为授权 IP，必须结合授权清单和资产归属确认。

授权子域 定义： 授权子域是指在授权范围内允许收集和测试的目标子域，例如 admin.example.com、api.example.com、test.example.com、dev.example.com。 作用： 作用是扩展和细化 Web 攻击面，因为后台、接口、测试环境、旧系统和临时系统通常通过子域暴露。 实践： 实践时确认授权是否覆盖全部子域、指定子域还是只允许被动发现子域，发现新子域后先判断归属和范围，再决定是否可以访问、枚举目录、测试接口或登录功能。

授权环境 定义： 授权环境是指允许测试的系统运行环境，包括生产环境、测试环境、开发环境、预发布环境、灾备环境、沙箱环境和演示环境。 作用： 作用是控制测试影响范围，不同环境的数据真实性、业务承载能力、安全策略和可操作权限不同，不能用同一套强度对所有环境测试。 实践： 实践时标记每个资产属于生产、测试、开发、预发还是未知环境，生产环境优先采用低频、只读、低影响的信息收集方式，测试环境可在授权允许下做更完整的接口、权限和业务流程验证。

授权 API 定义： 授权 API 是指被允许进行信息收集和安全测试的接口资产，包括 Web API、移动端 API、开放平台 API、GraphQL、WebSocket、gRPC-Web 和内部管理 API。 作用： 作用是明确接口测试边界，避免调用真实业务接口导致数据新增、修改、删除、支付、通知、导出或对外回调等副作用。 实践： 实践时记录 API 基础地址、版本、认证方式、允许方法、调用频率、测试账号、数据隔离要求和禁止操作，优先从公开文档、前端 JS、移动端配置和流量代理中整理接口清单。

授权账号 定义： 授权账号是指由目标方提供或明确允许使用的测试身份，包括普通用户、管理员、商户、运营、客服、审核员、开发者和只读观察账号。 作用： 作用是让测试人员在合法身份下观察功能面、接口面和权限边界，避免使用真实用户账号、员工账号、泄露账号或未授权账号进行测试。 实践： 实践时记录账号角色、权限级别、可操作功能、是否允许改密、是否允许绑定 MFA、是否允许上传文件、是否允许创建订单或修改数据，并为不同角色建立清晰的权限对照。

测试时间窗 定义： 测试时间窗是指授权方允许进行信息收集和安全测试的具体日期、时间段和持续周期。 作用： 作用是降低测试对业务和监控系统的影响，便于安全运营、业务团队和测试人员在同一时间范围内定位告警、日志和异常。 实践： 实践时按照授权时间执行主动访问、扫描、目录枚举、接口探测和登录验证，生产环境通常选择低峰期，时间窗之外只保留已授权的被动分析或停止测试等待确认。

禁止动作 定义： 禁止动作是指即使目标资产在授权范围内也不能执行的测试行为，例如拒绝服务、压力测试、批量爆破、社工钓鱼、真实支付、短信轰炸、删除数据、修改生产配置和持久化后门。 作用： 作用是把安全测试和破坏性攻击区分开，防止测试行为造成业务中断、数据污染、资损、合规事故或对第三方产生影响。 实践： 实践时在测试前列出禁止动作清单，执行过程中遇到可能产生高影响的操作先暂停确认，所有写入、删除、批量请求、回调外部地址、文件上传和权限提升验证都要按授权限制处理。

in-scope 定义： in-scope 是指明确在授权范围内、可以按照约定方式进行信息收集和安全测试的资产、功能、账号、接口、环境或业务流程。 作用： 作用是告诉测试人员哪些目标可以被主动触达、哪些功能可以被验证、哪些接口可以被调用，从而提高信息收集效率并减少边界不清导致的风险。 实践： 实践时把 in-scope 资产整理成清单，记录域名、IP、子域、环境、负责人、测试方式、限制条件和备注，并在发现新资产时及时和授权清单比对。

out-of-scope 定义： out-of-scope 是指明确不在授权范围内或暂时不能测试的资产、功能、账号、接口、环境或业务流程。 作用： 作用是划出禁止触达或禁止测试的边界，避免测试人员因为资产关联、页面引用、DNS 解析、品牌归属或业务依赖而误测未授权目标。 实践： 实践时把 out-of-scope 资产单独记录，遇到员工邮箱、真实用户数据、第三方支付、供应商后台、客户系统、非授权子公司系统和敏感生产功能时只记录线索并停止主动测试。

第三方资源 定义： 第三方资源是指目标站点中引用或依赖但不一定归目标方所有的外部服务，例如支付、短信、邮件、验证码、客服、统计、广告、地图、对象存储、身份认证和风控服务。 作用： 作用是帮助理解目标业务架构和供应链依赖，同时避免把第三方服务误认为目标方可授权测试资产。 实践： 实践时从页面源码、响应头、JS 文件、网络请求和接口回调中记录第三方资源的域名、用途和数据流向，除非授权中明确允许，否则只做识别和风险备注，不对第三方服务进行主动攻击测试。

CDN 资源 定义： CDN 资源是指目标使用的内容分发网络和边缘节点，例如 Cloudflare、Akamai、Fastly、CloudFront、阿里云 CDN、腾讯云 CDN 和其他加速防护节点。 作用： 作用是识别目标的访问链路、缓存策略、防护能力和源站隐藏情况，同时避免把共享 CDN 节点或边缘 IP 当作目标自有服务器扫描。 实践： 实践时通过响应头、DNS CNAME、证书、IP 归属和页面资源判断是否使用 CDN，记录 CDN 厂商、缓存行为、WAF 痕迹和可能的源站线索，但不默认扫描 CDN IP 段。

云厂商托管资产 定义： 云厂商托管资产是指运行在 AWS、Azure、GCP、阿里云、腾讯云、华为云等平台上的对象存储、负载均衡、云函数、API 网关、容器服务、镜像仓库和静态站点。 作用： 作用是帮助识别现代 Web 系统的真实攻击面，因为很多敏感文件、接口、回调、日志、备份和临时环境都可能暴露在云托管资源中。 实践： 实践时根据云域名特征、证书、DNS、页面资源和接口地址判断资产归属，确认是否属于授权范围，公开可访问不等于允许测试，发现 Bucket、函数地址、网关地址或镜像仓库时先记录再验证授权。

证据来源 定义： 证据来源是指每一条信息收集结果的出处，例如搜索引擎、DNS 查询、证书透明度日志、Wayback Machine、GitHub 搜索、页面源码、HTTP 响应头、API 文档和目标站点响应。 作用： 作用是让信息收集结果可复查、可复现、可解释，报告中能说明某个资产、接口、泄露信息或风险线索是如何被发现的。 实践： 实践时每发现一个域名、接口、文件、路径、账号格式、技术栈或第三方依赖，都记录来源名称、查询条件、访问地址、状态码、关键响应内容和截图或原始响应摘要。

发现时间 定义： 发现时间是指某条资产、接口、路径、泄露信息或响应证据被观察到的具体时间。 作用： 作用是处理信息时效性问题，因为 DNS 解析、证书、页面内容、接口响应、云资源权限和搜索引擎索引都可能随时间变化。 实践： 实践时按统一时区记录时间，例如 2026-06-17 14:35 UTC+8，对短暂暴露、临时环境、偶发错误、证书变更和动态接口尤其要记录精确时间。

请求方式 定义： 请求方式是指获得某条信息时使用的方法和路径，包括被动查询、浏览器访问、HTTP 请求、DNS 查询、接口调用、代理抓包、登录账号访问和工具枚举。 作用： 作用是区分信息来自公开索引、第三方数据源还是直接请求目标系统，也能帮助复现结果和评估测试行为对目标的影响。 实践： 实践时记录请求方法、URL、参数、Header、Cookie 使用情况、状态码、响应长度和关键返回内容，例如 GET /robots.txt、GET /api/v1/users/me、DNS 查询 A api.example.com。

是否主动触达目标 定义： 是否主动触达目标是指信息收集行为是否直接向目标服务器、接口、域名或 IP 发送请求，被动搜索和第三方平台查询通常不算主动触达，访问页面、接口探测、目录枚举和端口扫描属于主动触达。 作用： 作用是区分低影响的公开情报收集和可能被目标日志、安全设备、WAF、告警系统记录的主动探测行为。 实践： 实践时把搜索引擎、证书透明度日志、Wayback Machine、GitHub 搜索、Shodan/Censys 结果查看标记为未主动触达，把访问目标页面、请求 robots.txt、DNS 枚举、目录枚举、端口扫描、API 探测和登录测试账号查看功能标记为主动触达。