各位靓仔,搞网络安全,就像在雷区蹦迪,一不小心就 Boom Shakalaka!Web漏洞这玩意儿,说白了就是信任危机 + 验证掉链子。开发者们啊,总是对用户输入、权限边界和系统交互爱的太深,结果翻车了!主要有以下三种死法:
入口大开,谁都能进:用户输入没好好过滤,SQL注入、XSS啥的,直接把恶意代码当指令执行了,这不扯淡呢?
自家后院当成公共厕所:身份验证和会话管理一塌糊涂,越权、JWT篡改,黑客直接进你家后院溜达,想干啥干啥!
逻辑鬼才写的代码:业务规则验证缺失,订单金额随便改,短信轰炸不要钱,这不等着被薅羊毛吗?
所以,漏洞挖掘的正确姿势是啥?
反向操作,不信任任何人:假设所有输入都是坏家伙,看看系统怎么处理这些妖魔鬼怪(比如,输入个
'<,看看会不会触发XSS)。打破砂锅问到底:数据在不同地方(参数、Cookie、Headers)的处理方式可能不一样,要仔细研究。
不按套路出牌:用高并发请求、中间人攻击等骚操作,看看能不能搞出点幺蛾子,比如竞争条件或者协议级漏洞。
下面是精心炮制的40个Web常见漏洞挖掘技巧,拿走不谢!
一、注入攻击,无孔不入(5个)
1. SQL注入:让数据库叫爸爸
原理:把用户输入直接拼到SQL语句里,想查啥就查啥,数据库都得听你的。
检测:输入
' OR 1=1#,看看数据库是不是一脸懵逼;或者用SQLMap这种神器自动扫雷。姿势:别光盯着GET/POST参数,Cookie和HTTP头也可能是突破口;用联合查询搞点刺激的,比如爆出数据库版本、表名(
union select version(),database())。
2. NoSQL注入:JSON的温柔陷阱
原理:针对MongoDB、CouchDB这种用JSON查询的数据库。
检测:提交
username[$ne]=1&password[$ne]=1,看看能不能不输用户名密码就登录。姿势:看看JSON参数是不是直接被当成查询条件了。
3. 命令注入:让服务器给你跑腿
原理:用户输入直接拼到系统命令里,想让服务器干啥就干啥。
检测:输入
; ls或者| dir,看看响应里有没有目录列表。姿势:用分号、管道符这些骚操作绕过过滤。
4. XXE:XML的秘密通道
原理:解析XML的时候,加载了恶意外部文件。
检测:上传一个包含
<!ENTITY xxe SYSTEM "file:///etc/passwd">的XML文件,看看能不能读到服务器的密码文件。姿势:看看文件上传或者API接口是不是支持XML输入。
5. LDAP注入:认证系统的Bug
原理:用户输入拼到LDAP查询语句里,绕过认证。
检测:输入
*)(uid=*))(|(uid=*,看看能不能直接登录。姿势:登录框或者搜索功能里的特殊字符过滤要重点关注。
二、身份验证:门神睡着了(6个)
6. 弱口令:用脚都能猜出来的密码
检测:用字典爆破,看看有没有人用admin/123456这种弱鸡密码。
姿势:结合社会工程学,搞个专属字典(比如姓名+生日),效果更佳。
7. JWT:令牌的秘密
原理:签名算法没验证,或者密钥直接写在代码里。
检测:用
jwt_tool伪造令牌;看看是不是支持none算法,直接不用签名。姿势:把Header里的
alg字段改成none,试试水。
8. OAuth 2.0:授权的坑
高危点:
redirect_uri没好好校验,state参数没了。案例:搞个钓鱼链接,把授权码骗到手。
姿势:看看回调域名白名单是不是太宽松了。
9. 会话固定:被安排的Session
原理:攻击者指定一个Session ID给你用。
检测:登录前后Session ID没变,那就有问题。
姿势:用URL参数传递Session ID(比如
?PHPSESSID=123)。
10. 短信验证码:轰炸到你怀疑人生
检测:抓包重放验证码请求,看看能不能随便发短信。
姿势:用Burp Intruder自动化爆破,看看验证码是不是只有4位数字。
11. 密码重置:一键修改别人的密码
类型:验证码直接显示在页面上,Token没失效,用户ID随便改。
案例:改一下响应包里的
is_valid字段,就能绕过短信验证。
三、客户端:前端代码不靠谱(6个)
12. XSS:在别人网页上写字
类型:反射型、存储型、DOM型,花样贼多。
检测:输入
<script>alert(1)</script>,看看输出是不是被转义了。姿势:用事件处理函数(比如
onmouseover)绕过过滤。
13. CSRF:替用户干坏事
检测:看看请求里有没有Token或者Referer校验。
姿势:构造一个恶意页面,自动提交表单(比如转账请求)。
14. 点击劫持:让你点到停不下来
原理:用透明iframe诱导用户点击。
检测:看看有没有设置
X-Frame-Options头。姿势:用CSS
opacity:0隐藏恶意元素。
15. CORS:跨域的烦恼
高危配置:
Access-Control-Allow-Origin: *,允许所有域名访问,简直是作死。检测:发送一个带
Origin:恶意域名的请求,看看响应头。姿势:利用CORS窃取用户数据。
16. 不安全的重定向:把你带到小树林
检测:把
redirect_url参数改成外部域名。姿势:用URL编码绕过过滤(比如
%2e%2e%2f代替../)。
17. DOM型漏洞:前端的坑
原理:客户端脚本没过滤输入,直接操作DOM。
检测:输入
#<img src=x onerror=alert(1)>,测试URL片段。
四、服务端:后端的秘密(7个)
18. 文件上传:传个木马进去
绕过方法:改
Content-Type,用双扩展名(比如shell.php.jpg)。姿势:利用Apache解析漏洞(
test.php.xxx)。
19. 任意文件读取:偷窥服务器
检测:尝试读取
/etc/passwd或者配置文件。姿势:用
../目录遍历(比如file=../../etc/passwd)。
20. SSRF:让服务器当你的肉鸡
原理:利用服务端发起内部网络请求。
检测:输入
http://169.254.169.254获取云元数据。姿势:通过DNS Rebinding绕过IP限制。
21. 反序列化:把代码变成炸弹
常见场景:Java、PHP、Python反序列化函数。
检测:提交恶意序列化数据触发RCE。
姿势:用工具(比如ysoserial)生成Payload。
22. 未授权访问:不花钱也能进
案例:直接访问管理接口(比如
/admin)无需登录。姿势:扫描常见后台路径(比如
phpMyAdmin)。
23. 越权:小号干大事
类型:平行越权(同权限用户互访)、垂直越权(低权限访问高权限)。
检测:修改请求中的用户ID参数(比如
user_id=123→user_id=456)。
24. 敏感信息泄露:裤衩都给你看光了
来源:错误页面暴露堆栈信息,备份文件(比如
.bak)没删。姿势:用目录扫描工具查找敏感文件。
五、配置与协议:细节决定成败(6个)
25. 不安全的HTTP方法:想干啥干啥
检测:发送OPTIONS请求检查支持的方法。
修复:禁用WebDAV及不必要的方法。
26. 目录遍历与浏览:老底都被你看光了
检测:访问
/static/../查看是否返回目录列表。姿势:利用中间件配置错误(比如Apache默认开启目录浏览)。
27. HTTP响应头注入:控制你的浏览器
原理:没过滤输入直接写入响应头。
检测:输入
Set-Cookie:恶意内容篡改头信息。
28. 过时的SSL/TLS协议:裸奔的风险
检测:用工具(比如SSL Labs)检测支持协议版本。
风险:启用SSLv3或弱加密套件导致中间人攻击。
29. 主机头注入:瞒天过海
原理:伪造Host头访问内部服务。
检测:修改Host为
localhost或内部IP。姿势:利用域名绑定绕过访问控制。
30. 缓存投毒:污染你的缓存
原理:操纵缓存服务器存储恶意内容。
检测:注入恶意头(比如
X-Forwarded-Host)。姿势:利用缓存键与内容分离的设计缺陷。
六、业务逻辑:程序员的脑洞(5个)
31. 短信轰炸:让你手机爆炸
检测:重复请求短信接口导致用户被骚扰。
姿势:绕过频率限制(比如更换IP或手机号末位)。
32. 订单金额篡改:白嫖的艺术
原理:前端校验价格,后端没二次验证。
检测:修改POST请求中的
price字段。姿势:测试负数或极低价格。
33. 验证码:形同虚设
类型:验证码复用、前端生成、未绑定会话。
案例:响应包返回验证码明文。
34. 接口参数污染:重复的参数
原理:重复参数覆盖业务逻辑(比如
user_id=1&user_id=2)。姿势:测试后端如何处理多值参数。
35. 时间竞争:手速的较量
案例:并发请求兑换积分导致超额领取。
检测:使用多线程工具模拟高并发操作。
七、其他高危漏洞:防不胜防(5个)
36. WebSocket:跨站劫持
风险:未校验Origin头导致跨站WebSocket劫持。
检测:伪造Origin发起恶意连接。
37. 服务端模板注入:SSTI
常见框架:Jinja2、Freemarker。
检测:输入
{{7*7}}观察是否返回49。姿势:利用Payload执行系统命令。
38. HTTP请求走私:前后端的理解偏差
原理:利用前后端解析差异构造恶意请求。
检测:发送混淆Content-Length与Transfer-Encoding的请求。
39. 子域名接管:捡漏
场景:过期域名未解除DNS解析指向第三方服务。
姿势:扫描CNAME记录指向失效的云服务(比如GitHub Pages)。
40. Web缓存欺骗:偷梁换柱
原理:诱使用户访问恶意路径污染缓存。
检测:构造
http://target.com/profile.php/non-existent.css。姿势:利用静态资源缓存规则。
记住,实际操作的时候,自动化工具(比如Burp Suite、SQLMap)和手动测试都要用上,而且一定要遵守法律法规,拿到授权才能搞!别把自己搞进去了!
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
