企业官网建设流程全解析

Web漏洞的本质是信任体系的失控与验证机制的失效。其核心源于开发者对用户输入、权限边界及系统交互的过度信任，具体表现为三类问题：

1. 输入不可控：未对用户输入进行严格过滤（如SQL注入、XSS），导致恶意数据被解析执行；

2. 权限无隔离：身份验证与会话管理缺陷（如越权、JWT篡改），使得攻击者突破权限边界；

3. 逻辑不自洽：业务规则验证缺失（如订单金额篡改、短信轰炸），引发非预期行为。

漏洞挖掘的核心方法论：

• 逆向信任链：假设所有输入均不可信，探测系统如何处理异常数据（如插入'<符号触发XSS）；

• 突破上下文边界：测试数据在不同传输环节（参数、Cookie、Headers）的解析差异；

• 模拟非正常交互：通过高并发请求、中间人劫持等手段，触发竞争条件或协议级漏洞。

40个Web常见漏洞与挖掘技巧汇总，供参考。

一、注入类漏洞（5个）

1. SQL注入

• 原理：用户输入拼接至SQL语句，篡改查询逻辑。

• 检测：输入' OR 1=1#触发逻辑异常；使用SQLMap自动化探测。

• 技巧：关注GET/POST参数、Cookie、HTTP头；利用联合查询获取数据库版本、表名（如union select version(),database()）。

2. NoSQL注入

• 原理：针对MongoDB、CouchDB的JSON查询注入。

• 检测：提交username[$ne]=1&password[$ne]=1绕过登录验证。

• 技巧：测试JSON参数是否直接解析为查询条件。

3. 命令注入（OS Command Injection）

• 原理：用户输入拼接至系统命令。

• 检测：输入; ls或| dir观察响应是否包含目录列表。

• 技巧：利用分号、管道符绕过过滤。

4. XXE（XML外部实体注入）

• 原理：解析XML时加载恶意外部实体。

• 检测：上传包含<!ENTITY xxe SYSTEM "file:///etc/passwd">的XML文件。

• 技巧：测试文件上传或API接口是否支持XML输入。

5. LDAP注入

• 原理：用户输入拼接至LDAP查询语句。

• 检测：输入*)(uid=*))(|(uid=*绕过认证逻辑。

• 技巧：测试登录框或搜索功能中的特殊字符过滤。

二、身份验证类漏洞（6个）

6. 弱口令漏洞

• 检测：使用字典爆破常见密码（如admin/123456）。

• 技巧：结合社会工程学生成专属字典（如姓名+生日）。

7. JWT安全缺陷

• 原理：签名算法未验证、密钥硬编码。

• 检测：使用jwt_tool伪造令牌；检查是否支持none算法。

• 技巧：修改Header中的alg字段为none。

8. OAuth 2.0配置错误

• 高危点：redirect_uri未校验、state参数缺失。

• 案例：通过钓鱼链接劫持授权码。

• 技巧：测试回调域名白名单是否过宽。

9. 会话固定（Session Fixation）

• 原理：攻击者强制用户使用已知Session ID。

• 检测：登录前后Session ID未变更。

• 技巧：利用URL参数传递Session ID（如?PHPSESSID=123）。

10. 短信验证码爆破

• 检测：抓包重放验证码请求，观察是否可枚举（如4位纯数字）。

• 技巧：使用Burp Intruder自动化爆破。

11. 密码重置逻辑缺陷

• 类型：验证码回显、Token未失效、用户ID可篡改。

• 案例：修改响应包中的is_valid字段绕过短信验证。

三、客户端漏洞（6个）

12. XSS（跨站脚本攻击）

• 类型：反射型、存储型、DOM型。

• 检测：输入<script>alert(1)</script>测试输出是否转义。

• 技巧：利用事件处理函数（如onmouseover）绕过过滤。

13. CSRF（跨站请求伪造）

• 检测：检查请求是否缺少Token或Referer校验。

• 技巧：构造恶意页面自动提交表单（如转账请求）。

14. 点击劫持（Clickjacking）

• 原理：利用透明iframe诱导用户点击。

• 检测：检查是否设置X-Frame-Options头。

• 技巧：使用CSSopacity:0隐藏恶意元素。

15. CORS配置错误

• 高危配置：Access-Control-Allow-Origin: *允许任意域。

• 检测：发送带Origin:恶意域名的请求，观察响应头。

• 技巧：利用CORS窃取用户数据。

16. 不安全的重定向（Open Redirect）

• 检测：修改redirect_url参数为外部域名。

• 技巧：利用URL编码绕过过滤（如%2e%2e%2f代替../）。

17. DOM型漏洞

• 原理：客户端脚本未过滤输入直接操作DOM。

• 检测：输入#<img src=x onerror=alert(1)>测试URL片段。

四、服务端漏洞（7个）

18. 文件上传漏洞

• 绕过方法：修改Content-Type、双扩展名（如shell.php.jpg）。

• 技巧：利用Apache解析漏洞（test.php.xxx）。

19. 任意文件读取/下载

• 检测：尝试读取/etc/passwd或配置文件。

• 技巧：使用../目录遍历（如file=../../etc/passwd）。

20. SSRF（服务器端请求伪造）

• 原理：利用服务端发起内部网络请求。

• 检测：输入http://169.254.169.254获取云元数据。

• 技巧：通过DNS Rebinding绕过IP限制。

21. 反序列化漏洞

• 常见场景：Java、PHP、Python反序列化函数。

• 检测：提交恶意序列化数据触发RCE。

• 技巧：利用工具（如ysoserial）生成Payload。

22. 未授权访问

• 案例：直接访问管理接口（如/admin）无需登录。

• 技巧：扫描常见后台路径（如phpMyAdmin）。

23. 越权漏洞

• 类型：平行越权（同权限用户互访）、垂直越权（低权限访问高权限）。

• 检测：修改请求中的用户ID参数（如user_id=123→user_id=456）。

24. 敏感信息泄露

• 来源：错误页面暴露堆栈信息、备份文件（如.bak）未删除。

• 技巧：使用目录扫描工具查找敏感文件。

五、配置与协议漏洞（6个）

25. 不安全的HTTP方法（如PUT、DELETE）

• 检测：发送OPTIONS请求检查支持的方法。

• 修复：禁用WebDAV及不必要的方法。

26. 目录遍历与浏览

• 检测：访问/static/../查看是否返回目录列表。

• 技巧：利用中间件配置错误（如Apache默认开启目录浏览）。

27. HTTP响应头注入

• 原理：未过滤输入直接写入响应头。

• 检测：输入\r\nSet-Cookie:恶意内容篡改头信息。

28. 过时的SSL/TLS协议

• 检测：使用工具（如SSL Labs）检测支持协议版本。

• 风险：启用SSLv3或弱加密套件导致中间人攻击。

29. 主机头注入

• 原理：伪造Host头访问内部服务。

• 检测：修改Host为localhost或内部IP。

• 技巧：利用域名绑定绕过访问控制。

30. 缓存投毒（Web Cache Poisoning）

• 原理：操纵缓存服务器存储恶意内容。

• 检测：注入恶意头（如X-Forwarded-Host）。

• 技巧：利用缓存键与内容分离的设计缺陷。

六、业务逻辑漏洞（5个）

31. 短信轰炸

• 检测：重复请求短信接口导致用户被骚扰。

• 技巧：绕过频率限制（如更换IP或手机号末位）。

32. 订单金额篡改

• 原理：前端校验价格，后端未二次验证。

• 检测：修改POST请求中的price字段。

• 技巧：测试负数或极低价格。

33. 验证码逻辑缺陷

• 类型：验证码复用、前端生成、未绑定会话。

• 案例：响应包返回验证码明文。

34. 接口参数污染

• 原理：重复参数覆盖业务逻辑（如user_id=1&user_id=2）。

• 技巧：测试后端如何处理多值参数。

35. 时间竞争漏洞

• 案例：并发请求兑换积分导致超额领取。

• 检测：使用多线程工具模拟高并发操作。

七、其他高危漏洞（5个）

36. WebSocket安全缺陷

• 风险：未校验Origin头导致跨站WebSocket劫持。

• 检测：伪造Origin发起恶意连接。

37. 服务端模板注入（SSTI）

• 常见框架：Jinja2、Freemarker。

• 检测：输入{{7*7}}观察是否返回49。

• 技巧：利用Payload执行系统命令。

38. HTTP请求走私（HTTP Request Smuggling）

• 原理：利用前后端解析差异构造恶意请求。

• 检测：发送混淆Content-Length与Transfer-Encoding的请求。

39. 子域名接管

• 场景：过期域名未解除DNS解析指向第三方服务。

• 技巧：扫描CNAME记录指向失效的云服务（如GitHub Pages）。

40. Web缓存欺骗

• 原理：诱使用户访问恶意路径污染缓存。

• 检测：构造http://target.com/profile.php/non-existent.css。

• 技巧：利用静态资源缓存规则。

实际挖掘中需结合自动化工具（如Burp Suite、SQLMap）与手动测试，并严格遵守合法授权原则。

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习； 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统； 熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

网络安全学习路线&学习资源

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！