核心内容摘要
每日大赛今日大赛-女仆大赛:解锁你的专属侍奉,一场别开生面的美学盛宴!
Web安全说白了就是别太相信任何人这年头代码写出来就是给人搞的漏洞的根源就在于开发者那颗“我觉着没问题”的自信心。
核心问题就三个入口大开来者不拒你的输入验证就是个摆设黑客想怎么玩就怎么玩SQL注入、XSS都是这么来的谁都能进你家门权限管理一塌糊涂黑客拿到个普通账号就能为所欲为越权漏洞简直就是送人头规则就是用来打破的业务逻辑漏洞说白了就是规则没定好或者定了也白定黑客能把你的系统玩成俄罗斯方块想挖洞别再靠运气了记住这几条把所有数据都当成定时炸弹别管是用户输入的、Cookie里的还是Header里的先假设它是恶意的然后看看你的系统会怎么爆炸。
数据在不同地方会变脸同一份数据在参数里、Cookie里、Header里可能解析方式都不一样黑客就喜欢钻这种空子。
像黑客一样思考搞点破坏正常人用你的系统你当然觉得没问题。
试试高并发请求、中间人攻击看看会不会出幺蛾子。
下面是40个Web常见漏洞和挖掘技巧都是老夫多年踩坑
总结出来的拿走不谢
注入攻击只要有“入口”就能搞事情5个
SQL注入你的数据库我的游乐场本质把用户输入当成SQL代码执行简直就是自杀怎么搞输个 OR 11#看看你的系统会不会懵逼。
或者用SQLMap让它自动帮你找乐子。
进阶玩法别只盯着GET/POST参数Cookie和HTTP头有时候也有惊喜。
用union select version(),database()查查数据库版本说不定能发现更多秘密。
NoSQL注入JSON的地狱原理NoSQL数据库也逃不过注入的命运JSON查询一样可以被玩坏。
骚操作提交username[$ne]1password[$ne]1看看能不能直接绕过登录验证。
挖掘技巧重点关注那些直接把JSON参数当查询条件的接口。
命令注入让服务器听你的原理把用户输入拼接到系统命令里黑客就能控制你的服务器。
简单粗暴输入; ls或| dir看看能不能看到服务器的文件列表。
绕过姿势分号、管道符都是绕过过滤的好帮手。
XXEXML的噩梦原理XML解析器加载了外部的恶意“实体”让黑客读取服务器上的文件。
搞事情上传一个包含!ENTITY xxe SYSTEM file:///etc/passwd的XML文件看看能不能拿到Linux的密码文件。
挖掘目标文件上传和API接口都是XXE的高发地。
LDAP注入认证系统的漏洞原理把用户输入拼接到LDAP查询语句里绕过认证简直不要太容易。
骚操作输入*)(uid*))(|(uid*看看能不能直接登录。
挖掘技巧登录框和搜索功能是重点关注对象。
身份验证门卫都是摆设6个
弱口令别再用123456了检测用字典爆破看看能不能撞到管理员的密码。
进阶结合社工信息生成更精准的密码字典比如姓名生日。
JWT令牌也能伪造原理JWT的签名算法有问题或者密钥泄露黑客就能伪造令牌。
搞事情用jwt_tool伪造令牌或者直接把alg字段改成none看看能不能绕过验证。
挖掘技巧关注Header里的alg字段。
OAuth
0第三方登录小心被钓鱼高危点redirect_uri没校验、state参数缺失都是OAuth的常见漏洞。
案例通过钓鱼链接劫持用户的授权码。
挖掘技巧测试回调域名白名单看看是不是太宽松了。
会话固定强制用户用你的Session原理攻击者让用户使用一个已知的Session ID然后就能冒充用户登录。
检测登录前后Session ID有没有变化骚操作用URL参数传递Session ID比如?PHPSESSID123。
短信验证码爆破轰炸你的手机检测抓包重放验证码请求看看能不能枚举出验证码。
挖掘技巧用Burp Intruder自动化爆破。
密码重置重置了个寂寞类型验证码回显、Token永不过期、用户ID可以随便改。
案例修改响应包里的is_valid字段绕过短信验证。
客户端别以为前端就安全了6个
XSS前端的噩梦类型反射型、存储型、DOM型各种姿势都能搞。
检测输入scriptalert(
/script看看能不能弹窗。
绕过姿势利用事件处理函数比如onmouseover绕过过滤。
CSRF偷偷帮你转账检测检查请求有没有Token或Referer校验。
骚操作构造恶意页面自动提交表单比如转账请求。
点击劫持点了个寂寞原理用透明iframe诱导用户点击。
检测检查有没有设置X-Frame-Options头。
骚操作用CSSopacity:0隐藏恶意元素。
CORS跨域配置一不小心就泄密高危配置Access-Control-Allow-Origin: *允许任何网站跨域访问简直就是自杀检测发送带Origin:恶意域名的请求看看响应头里是什么。
骚操作利用CORS窃取用户数据。
不安全的重定向把你带到沟里去检测修改redirect_url参数跳转到外部域名。
绕过姿势用URL编码绕过过滤比如%2e%2e%2f代替../。
DOM型漏洞客户端脚本的漏洞原理客户端脚本直接操作DOM没有过滤用户输入。
检测输入#img srcx onerroralert(
测试URL片段。
服务端后端的坑一个比一个深7个
文件上传上传了个病毒绕过姿势修改Content-Type、双扩展名比如shell.php.jpg。
进阶利用Apache解析漏洞test.php.xxx。
任意文件读取/下载偷窥你的文件检测尝试读取/etc/passwd或配置文件。
骚操作用../目录遍历比如file../../etc/passwd。
SSRF让服务器当你的肉鸡原理利用服务端发起内部网络请求。
检测输入http://
169.
254.
1
254获取云元数据。
骚操作通过DNS Rebinding绕过IP限制。
反序列化一不小心就RCE常见场景Java、PHP、Python的反序列化函数。
检测提交恶意序列化数据触发远程代码执行RCE。
挖掘技巧用工具比如ysoserial生成Payload。
未授权访问谁都能进你家门案例直接访问管理接口比如/admin无需登录。
挖掘技巧扫描常见的后台路径比如phpMyAdmin。
越权不该你访问的你也看到了类型平行越权同权限用户互访、垂直越权低权限访问高权限。
检测修改请求中的用户ID参数比如user_id123→user_id456。
敏感信息泄露裤子都脱了来源错误页面暴露堆栈信息、备份文件比如.bak未删除。
挖掘技巧用目录扫描工具查找敏感文件。
配置与协议细节决定成败6个
不安全的HTTP方法PUT、DELETE能不用就别用检测发送OPTIONS请求检查支持的方法。
修复禁用WebDAV和不必要的方法。
目录遍历与浏览暴露你的家底检测访问/static/../看看能不能返回目录列表。
骚操作利用中间件配置错误比如Apache默认开启目录浏览。
HTTP响应头注入篡改你的Cookie原理未过滤输入直接写入响应头。
检测输入Set-Cookie:恶意内容篡改头信息。
过时的SSL/TLS协议中间人攻击的温床检测用工具比如SSL Labs检测支持的协议版本。
风险启用SSLv3或弱加密套件容易被中间人攻击。
主机头注入伪造Host头访问内部服务检测修改Host为localhost或内部IP。
骚操作利用域名绑定绕过访问控制。
缓存投毒污染你的缓存原理操纵缓存服务器存储恶意内容。
检测注入恶意头比如X-Forwarded-Host。
骚操作利用缓存键与内容分离的设计缺陷。
业务逻辑规则就是用来打破的5个
短信轰炸搞垮你的手机检测重复请求短信接口导致用户被骚扰。
绕过姿势更换IP或手机号末位绕过频率限制。
订单金额篡改1块钱买个iPhone原理前端校验价格后端没有二次验证。
检测修改POST请求中的price字段。
骚操作测试负数或极低价格。
验证码逻辑验证了个寂寞类型验证码复用、前端生成、未绑定会话。
案例响应包返回验证码明文。
接口参数污染覆盖你的逻辑原理重复参数覆盖业务逻辑比如user_id1user_id2。
挖掘技巧测试后端如何处理多值参数。
时间竞争抢钱漏洞案例并发请求兑换积分导致超额领取。
检测用多线程工具模拟高并发操作。
其他高危不常见的更要小心5个
WebSocket跨站劫持风险未校验Origin头导致跨站WebSocket劫持。
检测伪造Origin发起恶意连接。
服务端模板注入SSTI模板也能搞事情常见框架Jinja
Freemarker。
检测输入看看能不能返回49。
骚操作利用Payload执行系统命令。
HTTP请求走私前后端理解不一致原理利用前后端解析差异构造恶意请求。
检测发送混淆Content-Length与Transfer-Encoding的请求。
子域名接管捡漏的机会来了场景过期域名没有解除DNS解析指向第三方服务。
挖掘技巧扫描CNAME记录指向失效的云服务比如GitHub Pages。
Web缓存欺骗让用户访问恶意路径原理诱使用户访问恶意路径污染缓存。
检测构造http://target.com/profile.php/non-existent.css。
骚操作利用静态资源缓存规则。
记住挖洞不是靠运气而是靠知识、经验和耐心。
多用自动化工具但更要学会手动测试。
最重要的是一定要在授权的情况下进行测试否则后果自负学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。
知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。
广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。
实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。
通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。