各位靓仔,搞网络安全,就像在雷区蹦迪,一不小心就 Boom Shakalaka!Web漏洞这玩意儿,说白了就是信任危机 + 验证掉链子。开发者们啊,总是对用户输入、权限边界和系统交互爱的太深,结果翻车了!主要有以下三种死法:
-
入口大开,谁都能进:用户输入没好好过滤,SQL注入、XSS啥的,直接把恶意代码当指令执行了,这不扯淡呢?
-
自家后院当成公共厕所:身份验证和会话管理一塌糊涂,越权、JWT篡改,黑客直接进你家后院溜达,想干啥干啥!
-
逻辑鬼才写的代码:业务规则验证缺失,订单金额随便改,短信轰炸不要钱,这不等着被薅羊毛吗?
所以,漏洞挖掘的正确姿势是啥?
-
反向操作,不信任任何人:假设所有输入都是坏家伙,看看系统怎么处理这些妖魔鬼怪(比如,输入个
'<,看看会不会触发XSS)。 -
打破砂锅问到底:数据在不同地方(参数、Cookie、Headers)的处理方式可能不一样,要仔细研究。
-
不按套路出牌:用高并发请求、中间人攻击等骚操作,看看能不能搞出点幺蛾子,比如竞争条件或者协议级漏洞。
下面是精心炮制的40个Web常见漏洞挖掘技巧,拿走不谢!
一、注入攻击,无孔不入(5个)
1. SQL注入:让数据库叫爸爸
-
原理:把用户输入直接拼到SQL语句里,想查啥就查啥,数据库都得听你的。
-
检测:输入
' OR 1=1#,看看数据库是不是一脸懵逼;或者用SQLMap这种神器自动扫雷。 -
姿势:别光盯着GET/POST参数,Cookie和HTTP头也可能是突破口;用联合查询搞点刺激的,比如爆出数据库版本、表名(
union select version(),database())。
2. NoSQL注入:JSON的温柔陷阱
-
原理:针对MongoDB、CouchDB这种用JSON查询的数据库。
-
检测:提交
username[$ne]=1&password[$ne]=1,看看能不能不输用户名密码就登录。 -
姿势:看看JSON参数是不是直接被当成查询条件了。
3. 命令注入:让服务器给你跑腿
-
原理:用户输入直接拼到系统命令里,想让服务器干啥就干啥。
-
检测:输入
; ls或者| dir,看看响应里有没有目录列表。 -
姿势:用分号、管道符这些骚操作绕过过滤。
4. XXE:XML的秘密通道
-
原理:解析XML的时候,加载了恶意外部文件。
-
检测:上传一个包含
<!ENTITY xxe SYSTEM "file:///etc/passwd">的XML文件,看看能不能读到服务器的密码文件。 -
姿势:看看文件上传或者API接口是不是支持XML输入。
5. LDAP注入:认证系统的Bug
-
原理:用户输入拼到LDAP查询语句里,绕过认证。
-
检测:输入
*)(uid=*))(|(uid=*,看看能不能直接登录。 -
姿势:登录框或者搜索功能里的特殊字符过滤要重点关注。
二、身份验证:门神睡着了(6个)
6. 弱口令:用脚都能猜出来的密码
-
检测:用字典爆破,看看有没有人用admin/123456这种弱鸡密码。
-
姿势:结合社会工程学,搞个专属字典(比如姓名+生日),效果更佳。
7. JWT:令牌的秘密
-
原理:签名算法没验证,或者密钥直接写在代码里。
-
检测:用
jwt_tool伪造令牌;看看是不是支持none算法,直接不用签名。 -
姿势:把Header里的
alg字段改成none,试试水。
8. OAuth 2.0:授权的坑
-
高危点:
redirect_uri没好好校验,state参数没了。 -
案例:搞个钓鱼链接,把授权码骗到手。
-
姿势:看看回调域名白名单是不是太宽松了。
9. 会话固定:被安排的Session
-
原理:攻击者指定一个Session ID给你用。
-
检测:登录前后Session ID没变,那就有问题。
-
姿势:用URL参数传递Session ID(比如
?PHPSESSID=123)。
10. 短信验证码:轰炸到你怀疑人生
-
检测:抓包重放验证码请求,看看能不能随便发短信。
-
姿势:用Burp Intruder自动化爆破,看看验证码是不是只有4位数字。
11. 密码重置:一键修改别人的密码
-
类型:验证码直接显示在页面上,Token没失效,用户ID随便改。
-
案例:改一下响应包里的
is_valid字段,就能绕过短信验证。
三、客户端:前端代码不靠谱(6个)
12. XSS:在别人网页上写字
-
类型:反射型、存储型、DOM型,花样贼多。
-
检测:输入
<script>alert(1)</script>,看看输出是不是被转义了。 -
姿势:用事件处理函数(比如
onmouseover)绕过过滤。
13. CSRF:替用户干坏事
-
检测:看看请求里有没有Token或者Referer校验。
-
姿势:构造一个恶意页面,自动提交表单(比如转账请求)。
14. 点击劫持:让你点到停不下来
-
原理:用透明iframe诱导用户点击。
-
检测:看看有没有设置
X-Frame-Options头。 -
姿势:用CSS
opacity:0隐藏恶意元素。
15. CORS:跨域的烦恼
-
高危配置:
Access-Control-Allow-Origin: *,允许所有域名访问,简直是作死。 -
检测:发送一个带
Origin:恶意域名的请求,看看响应头。 -
姿势:利用CORS窃取用户数据。
16. 不安全的重定向:把你带到小树林
-
检测:把
redirect_url参数改成外部域名。 -
姿势:用URL编码绕过过滤(比如
%2e%2e%2f代替../)。
17. DOM型漏洞:前端的坑
-
原理:客户端脚本没过滤输入,直接操作DOM。
-
检测:输入
#<img src=x onerror=alert(1)>,测试URL片段。
四、服务端:后端的秘密(7个)
18. 文件上传:传个木马进去
-
绕过方法:改
Content-Type,用双扩展名(比如shell.php.jpg)。 -
姿势:利用Apache解析漏洞(
test.php.xxx)。
19. 任意文件读取:偷窥服务器
-
检测:尝试读取
/etc/passwd或者配置文件。 -
姿势:用
../目录遍历(比如file=../../etc/passwd)。
20. SSRF:让服务器当你的肉鸡
-
原理:利用服务端发起内部网络请求。
-
检测:输入
http://169.254.169.254获取云元数据。 -
姿势:通过DNS Rebinding绕过IP限制。
21. 反序列化:把代码变成炸弹
-
常见场景:Java、PHP、Python反序列化函数。
-
检测:提交恶意序列化数据触发RCE。
-
姿势:用工具(比如ysoserial)生成Payload。
22. 未授权访问:不花钱也能进
-
案例:直接访问管理接口(比如
/admin)无需登录。 -
姿势:扫描常见后台路径(比如
phpMyAdmin)。
23. 越权:小号干大事
-
类型:平行越权(同权限用户互访)、垂直越权(低权限访问高权限)。
-
检测:修改请求中的用户ID参数(比如
user_id=123→user_id=456)。
24. 敏感信息泄露:裤衩都给你看光了
-
来源:错误页面暴露堆栈信息,备份文件(比如
.bak)没删。 -
姿势:用目录扫描工具查找敏感文件。
五、配置与协议:细节决定成败(6个)
25. 不安全的HTTP方法:想干啥干啥
-
检测:发送OPTIONS请求检查支持的方法。
-
修复:禁用WebDAV及不必要的方法。
26. 目录遍历与浏览:老底都被你看光了
-
检测:访问
/static/../查看是否返回目录列表。 -
姿势:利用中间件配置错误(比如Apache默认开启目录浏览)。
27. HTTP响应头注入:控制你的浏览器
-
原理:没过滤输入直接写入响应头。
-
检测:输入
Set-Cookie:恶意内容篡改头信息。
28. 过时的SSL/TLS协议:裸奔的风险
-
检测:用工具(比如SSL Labs)检测支持协议版本。
-
风险:启用SSLv3或弱加密套件导致中间人攻击。
29. 主机头注入:瞒天过海
-
原理:伪造Host头访问内部服务。
-
检测:修改Host为
localhost或内部IP。 -
姿势:利用域名绑定绕过访问控制。
30. 缓存投毒:污染你的缓存
-
原理:操纵缓存服务器存储恶意内容。
-
检测:注入恶意头(比如
X-Forwarded-Host)。 -
姿势:利用缓存键与内容分离的设计缺陷。
六、业务逻辑:程序员的脑洞(5个)
31. 短信轰炸:让你手机爆炸
-
检测:重复请求短信接口导致用户被骚扰。
-
姿势:绕过频率限制(比如更换IP或手机号末位)。
32. 订单金额篡改:白嫖的艺术
-
原理:前端校验价格,后端没二次验证。
-
检测:修改POST请求中的
price字段。 -
姿势:测试负数或极低价格。
33. 验证码:形同虚设
-
类型:验证码复用、前端生成、未绑定会话。
-
案例:响应包返回验证码明文。
34. 接口参数污染:重复的参数
-
原理:重复参数覆盖业务逻辑(比如
user_id=1&user_id=2)。 -
姿势:测试后端如何处理多值参数。
35. 时间竞争:手速的较量
-
案例:并发请求兑换积分导致超额领取。
-
检测:使用多线程工具模拟高并发操作。
七、其他高危漏洞:防不胜防(5个)
36. WebSocket:跨站劫持
-
风险:未校验Origin头导致跨站WebSocket劫持。
-
检测:伪造Origin发起恶意连接。
37. 服务端模板注入:SSTI
-
常见框架:Jinja2、Freemarker。
-
检测:输入
{ {7*7}}观察是否返回49。 -
姿势:利用Payload执行系统命令。
38. HTTP请求走私:前后端的理解偏差
-
原理:利用前后端解析差异构造恶意请求。
-
检测:发送混淆Content-Length与Transfer-Encoding的请求。
39. 子域名接管:捡漏
-
场景:过期域名未解除DNS解析指向第三方服务。
-
姿势:扫描CNAME记录指向失效的云服务(比如GitHub Pages)。
40. Web缓存欺骗:偷梁换柱
-
原理:诱使用户访问恶意路径污染缓存。
-
检测:构造
http://target.com/profile.php/non-existent.css。 -
姿势:利用静态资源缓存规则。
记住,实际操作的时候,自动化工具(比如Burp Suite、SQLMap)和手动测试都要用上,而且一定要遵守法律法规,拿到授权才能搞!别把自己搞进去了!
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************