各位靓仔,搞网络安全,就像在雷区蹦迪,一不小心就 Boom Shakalaka!Web漏洞这玩意儿,说白了就是信任危机 + 验证掉链子。开发者们啊,总是对用户输入、权限边界和系统交互爱的太深,结果翻车了!主要有以下三种死法:
入口大开,谁都能进:用户输入没好好过滤,SQL注入、XSS啥的,直接把恶意代码当指令执行了,这不扯淡呢?
自家后院当成公共厕所:身份验证和会话管理一塌糊涂,越权、JWT篡改,黑客直接进你家后院溜达,想干啥干啥!
逻辑鬼才写的代码:业务规则验证缺失,订单金额随便改,短信轰炸不要钱,这不等着被薅羊毛吗?
所以,漏洞挖掘的正确姿势是啥?
反向操作,不信任任何人:假设所有输入都是坏家伙,看看系统怎么处理这些妖魔鬼怪(比如,输入个
'<,看看会不会触发XSS)。打破砂锅问到底:数据在不同地方(参数、Cookie、Headers)的处理方式可能不一样,要仔细研究。
不按套路出牌:用高并发请求、中间人攻击等骚操作,看看能不能搞出点幺蛾子,比如竞争条件或者协议级漏洞。
下面是精心炮制的40个Web常见漏洞挖掘技巧,拿走不谢!
一、注入攻击,无孔不入(5个)
1. SQL注入:让数据库叫爸爸
原理:把用户输入直接拼到SQL语句里,想查啥就查啥,数据库都得听你的。
检测:输入
' OR 1=1#,看看数据库是不是一脸懵逼;或者用SQLMap这种神器自动扫雷。姿势:别光盯着GET/POST参数,Cookie和HTTP头也可能是突破口;用联合查询搞点刺激的,比如爆出数据库版本、表名(
union select version(),database())。
2. NoSQL注入:JSON的温柔陷阱
原理:针对MongoDB、CouchDB这种用JSON查询的数据库。
检测:提交
username[$ne]=1&password[$ne]=1,看看能不能不输用户名密码就登录。姿势:看看JSON参数是不是直接被当成查询条件了。
3. 命令注入:让服务器给你跑腿
原理:用户输入直接拼到系统命令里,想让服务器干啥就干啥。
检测:输入
; ls或者| dir,看看响应里有没有目录列表。姿势:用分号、管道符这些骚操作绕过过滤。
4. XXE:XML的秘密通道
原理:解析XML的时候,加载了恶意外部文件。
检测:上传一个包含
<!ENTITY xxe SYSTEM "file:///etc/passwd">的XML文件,看看能不能读到服务器的密码文件。姿势:看看文件上传或者API接口是不是支持XML输入。
5. LDAP注入:认证系统的Bug
原理:用户输入拼到LDAP查询语句里,绕过认证。
检测:输入
*)(uid=*))(|(uid=*,看看能不能直接登录。姿势:登录框或者搜索功能里的特殊字符过滤要重点关注。
二、身份验证:门神睡着了(6个)
6. 弱口令:用脚都能猜出来的密码
检测:用字典爆破,看看有没有人用admin/123456这种弱鸡密码。
姿势:结合社会工程学,搞个专属字典(比如姓名+生日),效果更佳。
7. JWT:令牌的秘密
原理:签名算法没验证,或者密钥直接写在代码里。
检测:用
jwt_tool伪造令牌;看看是不是支持none算法,直接不用签名。姿势:把Header里的
alg字段改成none,试试水。
8. OAuth 2.0:授权的坑
高危点:
redirect_uri没好好校验,state参数没了。案例:搞个钓鱼链接,把授权码骗到手。
姿势:看看回调域名白名单是不是太宽松了。
9. 会话固定:被安排的Session
原理:攻击者指定一个Session ID给你用。
检测:登录前后Session ID没变,那就有问题。
姿势:用URL参数传递Session ID(比如
?PHPSESSID=123)。
10. 短信验证码:轰炸到你怀疑人生
检测:抓包重放验证码请求,看看能不能随便发短信。
姿势:用Burp Intruder自动化爆破,看看验证码是不是只有4位数字。
11. 密码重置:一键修改别人的密码
类型:验证码直接显示在页面上,Token没失效,用户ID随便改。
案例:改一下响应包里的
is_valid字段,就能绕过短信验证。
三、客户端:前端代码不靠谱(6个)
12. XSS:在别人网页上写字
类型:反射型、存储型、DOM型,花样贼多。
检测:输入
<script>alert(1)</script>,看看输出是不是被转义了。姿势:用事件处理函数(比如
onmouseover)绕过过滤。
13. CSRF:替用户干坏事
检测:看看请求里有没有Token或者Referer校验。
姿势:构造一个恶意页面,自动提交表单(比如转账请求)。
14. 点击劫持:让你点到停不下来
原理:用透明iframe诱导用户点击。
检测:看看有没有设置
X-Frame-Options头。姿势:用CSS
opacity:0隐藏恶意元素。
15. CORS:跨域的烦恼
高危配置:
Access-Control-Allow-Origin: *,允许所有域名访问,简直是作死。检测:发送一个带
Origin:恶意域名的请求,看看响应头。姿势:利用CORS窃取用户数据。
16. 不安全的重定向:把你带到小树林
检测:把
redirect_url参数改成外部域名。姿势:用URL编码绕过过滤(比如
%2e%2e%2f代替../)。
17. DOM型漏洞:前端的坑
原理:客户端脚本没过滤输入,直接操作DOM。
检测:输入
#<img src=x onerror=alert(1)>,测试URL片段。
四、服务端:后端的秘密(7个)
18. 文件上传:传个木马进去
绕过方法:改
Content-Type,用双扩展名(比如shell.php.jpg)。姿势:利用Apache解析漏洞(
test.php.xxx)。
19. 任意文件读取:偷窥服务器
检测:尝试读取
/etc/passwd或者配置文件。姿势:用
../目录遍历(比如file=../../etc/passwd)。
20. SSRF:让服务器当你的肉鸡
原理:利用服务端发起内部网络请求。
检测:输入
http://169.254.169.254获取云元数据。姿势:通过DNS Rebinding绕过IP限制。
21. 反序列化:把代码变成炸弹
常见场景:Java、PHP、Python反序列化函数。
检测:提交恶意序列化数据触发RCE。
姿势:用工具(比如ysoserial)生成Payload。
22. 未授权访问:不花钱也能进
案例:直接访问管理接口(比如
/admin)无需登录。姿势:扫描常见后台路径(比如
phpMyAdmin)。
23. 越权:小号干大事
类型:平行越权(同权限用户互访)、垂直越权(低权限访问高权限)。
检测:修改请求中的用户ID参数(比如
user_id=123→user_id=456)。
24. 敏感信息泄露:裤衩都给你看光了
来源:错误页面暴露堆栈信息,备份文件(比如
.bak)没删。姿势:用目录扫描工具查找敏感文件。
五、配置与协议:细节决定成败(6个)
25. 不安全的HTTP方法:想干啥干啥
检测:发送OPTIONS请求检查支持的方法。
修复:禁用WebDAV及不必要的方法。
26. 目录遍历与浏览:老底都被你看光了
检测:访问
/static/../查看是否返回目录列表。姿势:利用中间件配置错误(比如Apache默认开启目录浏览)。
27. HTTP响应头注入:控制你的浏览器
原理:没过滤输入直接写入响应头。
检测:输入
Set-Cookie:恶意内容篡改头信息。
28. 过时的SSL/TLS协议:裸奔的风险
检测:用工具(比如SSL Labs)检测支持协议版本。
风险:启用SSLv3或弱加密套件导致中间人攻击。
29. 主机头注入:瞒天过海
原理:伪造Host头访问内部服务。
检测:修改Host为
localhost或内部IP。姿势:利用域名绑定绕过访问控制。
30. 缓存投毒:污染你的缓存
原理:操纵缓存服务器存储恶意内容。
检测:注入恶意头(比如
X-Forwarded-Host)。姿势:利用缓存键与内容分离的设计缺陷。
六、业务逻辑:程序员的脑洞(5个)
31. 短信轰炸:让你手机爆炸
检测:重复请求短信接口导致用户被骚扰。
姿势:绕过频率限制(比如更换IP或手机号末位)。
32. 订单金额篡改:白嫖的艺术
原理:前端校验价格,后端没二次验证。
检测:修改POST请求中的
price字段。姿势:测试负数或极低价格。
33. 验证码:形同虚设
类型:验证码复用、前端生成、未绑定会话。
案例:响应包返回验证码明文。
34. 接口参数污染:重复的参数
原理:重复参数覆盖业务逻辑(比如
user_id=1&user_id=2)。姿势:测试后端如何处理多值参数。
35. 时间竞争:手速的较量
案例:并发请求兑换积分导致超额领取。
检测:使用多线程工具模拟高并发操作。
七、其他高危漏洞:防不胜防(5个)
36. WebSocket:跨站劫持
风险:未校验Origin头导致跨站WebSocket劫持。
检测:伪造Origin发起恶意连接。
37. 服务端模板注入:SSTI
常见框架:Jinja2、Freemarker。
检测:输入
{{7*7}}观察是否返回49。姿势:利用Payload执行系统命令。
38. HTTP请求走私:前后端的理解偏差
原理:利用前后端解析差异构造恶意请求。
检测:发送混淆Content-Length与Transfer-Encoding的请求。
39. 子域名接管:捡漏
场景:过期域名未解除DNS解析指向第三方服务。
姿势:扫描CNAME记录指向失效的云服务(比如GitHub Pages)。
40. Web缓存欺骗:偷梁换柱
原理:诱使用户访问恶意路径污染缓存。
检测:构造
http://target.com/profile.php/non-existent.css。姿势:利用静态资源缓存规则。
记住,实际操作的时候,自动化工具(比如Burp Suite、SQLMap)和手动测试都要用上,而且一定要遵守法律法规,拿到授权才能搞!别把自己搞进去了!
三、网络安全学习路线
先放上路线图
需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。
网络安全学习路线&学习资源![]()
第一阶段:基础操作入门
入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍,一般来说这个过程在1个月左右比较合适。在这个部分我介绍的课程和书籍都属于难度非常低的,就算是完全零基础的小白只要认真学也是能够学会的
课程我推荐下面这套Web安全入门基础课程,难度不大而且完全免费。这套课程至今已经有19万的学习人次,好评度99%。一共包含了40节课,课程内容主要包含了burp、awvs、cs、msf等当下主流工具的使用,而且每节课程都配备了练习靶场。听完课程后再去靶场进行练习,靶场当中有任何不懂的问题也可以在学习群里请教前辈,这样能够大大提升你的学习效率
在学习基础入门课程的同时,推荐同时阅读相关的书籍补充理论知识,这里比较推荐以下几本书:
- 《白帽子讲Web安全》
- 《Web安全深度剖析》
- 《Web安全攻防 渗透测试实战指南》
第二阶段:学习基础知识
在这个阶段,你已经对网络安全有了基本的了解。如果你认真看完了上面推荐的书籍和课程,相信你已经在理论上明白了上面是sql注入,什么是xss攻击,对burp、msf、cs等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基!
所谓的“打地基”其实就是系统化的学习计算机基础知识。而想要学习好网络安全,首先要具备5个基础知识模块:
学习这些基础知识有什么用呢?
计算机各领域的知识水平决定你渗透水平的上限。
- 比如:你编程水平高,那你在代码审计的时候就会比别人强,写出的漏洞利用工具就会比别人的好用;
- 比如:你数据库知识水平高,那你在进行SQL注入攻击的时候,你就可以写出更多更好的SQL注入语句,能绕过别人绕不过的WAF;
- 比如:你网络水平高,那你在内网渗透的时候就可以比别人更容易了解目标的网络架构,拿到一张网络拓扑就能自己在哪个部位,拿到以一个路由器的配置文件,就知道人家做了哪些路由;
- 再比如你操作系统玩的好,你提权就更加强,你的信息收集效率就会更加高,你就可以高效筛选出想要得到的信息
这些基础该学到什么程度呢?
计算机各领域的知识水平决定你渗透水平的上限,但是零基础并不是要把上面的全部都学的很好再去搞渗透,那不仅会劝退大部分人,而且像我前面说的深度学习很容易学的囫囵吞枣,最后反而竹篮打水一场空
作为初学者,可以先学习基础。比如你先学一个编程语言的基础,用PHP做例子,你起码要懂if else这些、连接数据库;比如学数据库,用MySQL做例子,那至少也是要会增删改查、子查询这几个操作;网络的话比较难,也是很抽象的,你做外网的渗透,至少要懂基础的http协议,知道端口是什么,知道网站是怎么架设起来的;操作系统的基础相对比较好学,主要是各种命令的作用,各种软件的安装和使用
学习书籍和资源推荐:
《HTTP权威指南》
《Python核心编程》
《PHP和MySQL Web开发》
《JavaScript高级程序设计》
Damn Vulnerable Web Application
Audi-1/sqli-labs
BUUCTF
bugku
网络信息安全攻防平台
第三阶段:实战操作
1.挖SRC
挖SRC的目的主要是讲技能落在实处,学习网络安全最大的幻觉就是觉得自己什么都懂了,但是到了真的挖漏洞的时候却一筹莫展,而SRC是一个非常好的技能应用机会
SRC平台:
SRC平台合集
2.从技术分享帖(漏洞挖掘类型)学习
观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维!
安全大佬博客:
Sec-News
李劼杰的博客
Yaseng 博客
离别歌
Lcy’s Blog
hackfun
信安之路
蓝骑兵
书籍推荐:
- 《WEB之困-现代WEB应用安全指南》
- 《内网安全攻防渗透测试安全指南》
- 《Metasploit渗透测试魔鬼训练营》
- 《SQL注入攻击与防御》
- 《黑客攻防技术宝典-Web实战篇(第2版)》
到这一步,再加上之后对挖掘漏洞的技术多加练习与积累实战经验,基本就可以达到安全工程师的级别
所有资料共87.9G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方CSDN官方合作二维码免费领取(如遇扫码问题,可以在评论区留言领取哦)~
