小迪web安全培训课件

小迪安全培训课件Web从基础入门到高级攻防实战第一章安全基础与环境搭建:Web安全的学习之旅从理解基础架构开始本章将带您深入了解应用的工作原理Web Web,掌握必备的环境搭建技能为后续的攻防实战打下坚实基础,安全为何如此重要Web30%90%100%攻击增长率漏洞占比课程覆盖2024年全球网络攻击事件数据泄露源于Web应用漏小迪安全课程全链路防护同比增长洞体系应用架构全景解析Web前端层用户界面、交互、浏览器渲染JavaScript后端层业务逻辑处理、接口、身份认证API数据层数据库存储、缓存系统、文件服务现代应用采用复杂的分层架构包括站库分离、负载均衡、加速等技术理解Web,CDN这些架构对于发现安全漏洞至关重要环境搭建实操演示云服务器配置域名与服务Web选择主流云服务提供商进行服务器购买完整的域名解析与Web服务器部署:与配置:域名注册与解析配置•DNS阿里云实例创建与安全组配置•ECS服务器安装与站点创建•IIS腾讯云服务器密钥管理•CVM SSH反向代理配置•Nginx防火墙规则设置与端口开放•虚拟主机设置•Apache系统初始化与安全加固•掌握环境搭建是进行安全测试的第一步我们将从零开始手把手教您搭建完整的测试环,境包括服务器、数据库、以及各类中间件的安装配置这些实操技能将贯穿整个,Web课程的学习过程协议与抓包技术深度解析HTTP0102请求结构响应分析HTTP HTTP请求行方法、、版本、请求头部、、状态行状态码含义、响应头部、、响应体URIHost CookieUser-Server Set-Cookie、请求体数据数据Agent POSTHTML/JSON0304状态码安全影响实战BurpSuite200成功、302重定向、403权限、404未找到、500服务器错误的安全代理设置、拦截修改、重放攻击、扫描器使用、插件扩展意义协议是应用通信的基础深入理解其工作机制对于发现安全漏洞至关重要通过等专业工具我们可以拦截、分析、修改请HTTP Web,BurpSuite,HTTP求和响应这是渗透测试中最常用的技术手段,抓包是攻防的第一步是安全测试中最强大的工具之一通过设置浏览器代理我们可以实时BurpSuite Web,查看和修改所有通信内容发现隐藏的安全漏洞掌握抓包技术就掌握了安HTTP,,Web全分析的核心能力第二章信息收集与资产打点:信息收集是渗透测试的第一阶段也是最关键的阶段通过系统的资产识别和信息搜集,,我们可以全面了解目标系统的攻击面为后续的漏洞挖掘和渗透测试奠定基础,本章将介绍专业的信息收集方法论和工具使用技巧帮助您构建完整的目标画像提高渗,,透测试的成功率和效率信息收集的战略重要性资产识别维度漏洞预判策略子域名枚举与爆破历史漏洞关联分析•••IP段识别与端口扫描•攻击面缩小与优先级服务指纹识别敏感信息泄露发现•••CMS框架识别•弱口令批量检测专业工具推荐网络空间测绘•Fofa资产搜索引擎•Quake物联网搜索•Shodan网络资产测绘•Hunter系统化的信息收集能够帮助我们构建目标的完整拓扑图发现潜在的安全隐患通过专业,的网络空间测绘工具我们可以快速定位脆弱的资产大幅提升渗透测试效率,,资产泄露典型案例深度剖析案例一源码泄露事件:GitHub某互联网公司开发人员将包含数据库配置文件的代码推送至公开仓库配置文件中,包含生产环境的数据库账号密码攻击者通过搜索发现该泄露直接连接GitHub,数据库获取了超过万用户的敏感信息200教训永远不要在代码仓库中硬编码敏感信息使用环境变量或密钥管理服务:,案例二漏洞批量利用:CMS某知名系统曝出远程代码执行漏洞由于大量网站使用CMS CVE-2023-XXXX,该系统且未及时更新攻击者利用批量搜索存在漏洞的目标在短时间内入侵,Fofa,了超过个网站植入挖矿木马和后门5000,教训及时更新系统补丁关注漏洞公告建立漏洞应急响应机制:,CVE,绕过与识别技巧CDN WAF隐藏真实的原理识别与绕过CDN IP WAF内容分发网络通过在全球部署大量节点服务器将用户请求分发到最近的节点从应用防火墙通过规则匹配拦截恶意请求识CDN,,Web WAF而加速访问并隐藏源站真实攻击者无法直接攻击源站必须先找到真实别类型有助于制定针对性绕过策略IP,IPWAF真实获取方法通过响应头识别类型•WAFIP构造特殊测试规则•Payload查询历史解析记录

1.DNS编码绕过、、十六进制•URL Unicode扫描子域名寻找未使用的站点

2.CDN分块传输绕过•邮件服务器回溯

3.IP协议层面绕过技巧•证书查询关联域名

4.SSL利用等敏感文件泄露

5.phpinfo实战演示在实际测试中我们成功绕过某知名产品通过编码和大小写混淆相结合的方式成功执行注入攻击获取了数据库:,WAF,Base64,SQL,管理员权限这个案例说明即使部署了安全防护设备如果配置不当或规则不完善仍然存在被绕过的风险,,,第三章核心漏洞详解:Web漏洞是攻击者入侵系统的主要途径本章将深入讲解注入、文件上传、Web SQL、、、等核心漏洞类型从原理到利用从检测到防御构建完整的XSS CSRF SSRF RCE,,,漏洞知识体系我们将通过大量真实案例和实战演练帮助您深刻理解每一种漏洞的本质掌握漏洞挖掘,,和利用技巧同时学会如何从开发者角度进行有效防护,注入全面解析SQL SQLi错误型注入1通过数据库错误信息获取数据结构,利用报错函数如extractvalue、updatexml进行注入布尔盲注2根据页面返回的真假判断,逐字猜解数据库内容,通过substr、ascii等函数实现时间盲注3利用sleep、benchmark等函数造成延迟,根据响应时间判断条件真假堆叠注入4利用分号执行多条SQL语句,可进行增删改查等任意操作,危害巨大不同数据库系统的注入技巧存在差异MySQL支持堆叠查询和UNION注入,Oracle需要使用ROWNUM,MSSQL可利用xp_cmdshell执行系统命令,MongoDB的NoSQL注入则需要构造特殊的JSON查询语句SQLMAP是最强大的SQL注入自动化工具,支持检测和利用各种注入类型掌握其参数使用技巧,如--tamper绕过WAF、--os-shell获取系统权限、--sql-shell执行任意SQL,可以大幅提升渗透测试效率注入实战案例深度分析SQL一个简单的SQL注入漏洞,导致某金融网站百万级用户的身份证号、银行卡信息、交易记录全部泄露,直接经济损失超过2000万元,公司股价暴跌15%漏洞发现登录接口username参数未过滤,存在字符型注入点,通过单引号闭合测试发现异常漏洞利用使用UNION联合查询获取数据库名、表名、列名,最终导出users表全部数据绕过WAF通过注释符/**/分隔关键字、大小写混淆、内联注释等技巧绕过防护规则防护建议应急响应措施•使用预编译语句PreparedStatement•立即修复漏洞并更新系统•严格的输入验证和过滤•排查日志确定数据泄露范围•最小权限原则配置数据库账号•强制用户修改密码•部署WAF并定期更新规则•通知受影响用户并报告监管•敏感数据加密存储•评估法律责任并采取补救文件上传漏洞攻防技术上传点安全风险黑白名单绕过技巧编辑器解析漏洞未经过滤的文件上传功能允许攻击者上传恶意脚本黑名单绕过:利用大小写混淆.PhP、双重后缀FCKeditor、eWebEditor、UEditor等富文本编文件如.php、.jsp、.asp,通过访问该文件即可执.php.jpg、空格截断、点号绕过.php.、解析辑器历史上存在大量上传漏洞攻击者通过构造特行任意代码,获取服务器控制权这是最直接也最危漏洞.php3/.phtml等方法白名单绕过:00截殊请求绕过前端校验,直接调用后端上传接口,上传险的攻击方式之一断、MIME类型伪造、文件头伪造、条件竞争等高Webshell获取服务器权限级技巧防护最佳实践:1白名单限制文件类型2重命名上传文件,使用随机文件名3存储在Web目录外或独立存储服务4验证文件头魔术字节5禁止执行权限,配置.htaccess或web.config6病毒扫描和沙箱检测跨站脚本攻击详解XSS反射型存储型XSS XSS恶意脚本通过URL参数传递,服务器未过滤直接输恶意脚本被存储在数据库中,当其他用户访问包含出到页面攻击者构造恶意链接诱导用户点击,窃该数据的页面时自动执行危害最大,可影响所有取Cookie或执行恶意操作特点是非持久化,需要访问用户常见于评论、留言板、个人资料等功用户交互能型DOM XSS纯客户端漏洞,恶意代码通过修改页面DOM结构执行不经过服务器,难以通过服务端防护检测常见于document.write、innerHTML等操作防护机制真实案例HttpOnly标志:设置Cookie的HttpOnly属性,防止某大型电商平台商品评论功能存在存储型XSS漏洞,JavaScript访问,有效防止Cookie被盗攻击者在评论中插入恶意脚本,导致访问该商品页面的用户Cookie被窃取短短2小时内,超过3000个账号CSP内容安全策略:通过HTTP头部限制资源加载来被盗,用户余额被转移源,禁止内联脚本执行,从根本上防御XSS攻击与漏洞攻防CSRF SSRF跨站请求伪造服务端请求伪造CSRFSSRF攻击原理:利用用户已登录的身份,诱导用户访问恶意页面,该页面自动发起请求到目攻击原理:利用服务器发起请求的功能,构造恶意URL使服务器访问内网资源或任意外标网站,执行敏感操作如转账、修改密码等部地址,绕过防火墙限制危害场景:资金转账、密码修改、账号绑定、数据删除等需要认证的操作都可能被危害场景:内网端口扫描、内网服务探测、读取本地文件、攻击内网应用、云服务元CSRF攻击数据泄露0102防御验证防御校验CSRF:Token CSRF:Referer为每个敏感操作生成随机Token,在请求中携带并在服务端验证,确保请求来自合法页面检查HTTP请求头的Referer字段,验证请求来源是否为可信域名,拒绝来自外部的请求0304防御白名单限制防御内网隔离SSRF:SSRF:限制服务器可访问的URL范围,仅允许访问特定的外部域名或IP地址禁止访问内网IP段

10.

0.

0.0/

8、

172.

16.

0.0/

12、

192.

168.

0.0/16和本地地址

127.

0.

0.1SSRF内网探测实战演示:通过某网站的图片代理功能,我们构造URL访问内网

192.

168.

1.1-255段的各个端口,成功发现内网运行着Redis、MySQL、MongoDB等服务,部分服务未设置密码,可直接连接获取敏感数据远程代码执行漏洞RCE代码执行漏洞是最高危的安全问题代码执行成因eval、assert、system等危险函数直接执行用户输入,或通过反序列化、模板注入等方式间接执行代码过滤绕过技巧字符串拼接、变量覆盖、编码绕过、无字母数字Shell、利用通配符、环境变量利用等高级绕过方法无回显利用通过DNS外带、HTTP请求外带、延时判断、文件写入等方式在无回显情况下确认漏洞并获取数据案例分析:某知名CMS系统存在模板注入漏洞,攻击者通过构造特殊的模板语法,成功执行任意PHP代码利用该漏洞,攻击者批量入侵了使用该CMS的数千个网站,植入后门程序部分网站被植入挖矿脚本,服务器资源被耗尽导致全站瘫痪;部分网站数据库被加密勒索,支付赎金后才能恢复这个案例说明RCE漏洞的危害是毁灭性的,必须高度重视代码安全审计逻辑漏洞与权限越权攻击水平越权垂直越权攻击者通过修改参数访问同级别其他用户的数据例如修改用户ID查看他人订单信息、修改账号查看他人私信内容普通用户通过修改参数访问管理员功能例如普通用户直接访问管理后台URL、调用管理员API接口检测方法:注册多个测试账号,交叉测试是否能访问彼此的数据检测方法:使用普通账号尝试访问管理功能,观察是否进行了权限校验反序列化漏洞深度剖析反序列化原理1PHPunserialize函数将序列化字符串还原为对象,若数据可控则可构造恶意对象,通过魔术方法__wakeup、__destruct、2反序列化原理Java__toString等触发代码执行ObjectInputStream.readObject反序列化对象时,若类实现了Serializable接口链构造技术3并重写了readObject方法,可在反序列化过POP程中执行任意代码Property-Oriented Programming,通过连接多个类的魔术方法,构造完整的利用链,最终实现代码执行或文件操作等恶意行为4漏洞复现CVEApache CommonsCollections、FastJSON、Log4j等组件存在反序列化漏洞,学习CVE漏洞的分析和复现过程,理解漏洞利用原理经典漏洞案例防护建议•Apache CommonsCollections CVE-•避免反序列化不可信数据2015-6420•使用白名单限制可反序列化的类•FastJSON远程代码执行•升级修复已知漏洞的组件•Log4j2JNDI注入CVE-2021-44228•使用安全的序列化方式如JSON•ThinkPHP反序列化RCE与安全威胁XXE XML外部实体注入原理XML外部实体XXE允许引用外部资源当XML解析器处理用户可控的XML数据且未禁用外部实体时,攻击者可读取服务器文件、探测内网、进行SSRF攻击无回显盲注技术当服务器不返回XML解析结果时,通过外部DTD引用、DNS解析、HTTP请求等方式将数据外带到攻击者服务器,实现盲注攻击带外数据技术OOBOut-of-Band技术通过构造特殊的外部实体,使服务器主动向攻击者的服务器发起请求,携带敏感数据,绕过防火墙和过滤限制!DOCTYPE foo[!ENTITY xxeSYSTEM file:///etc/passwd]root dataxxe;/data/root123禁用外部实体使用安全解析器输入验证过滤在XML解析器中显式禁用外部实体和DTD处理功能选择默认安全配置的XML解析库,避免使用过时的不安全组件验证XML结构,过滤特殊字符,使用白名单限制允许的标签第四章代码审计与安全开发:代码审计是从源代码层面发现安全漏洞的技术也是安全开发的重要环节本章将介绍,、、等主流语言的代码审计方法学习如何通过阅读代码发现潜在PHP JavaJavaScript,的安全问题同时我们将探讨安全开发的最佳实践从开发者的角度理解如何编写安全的代码从根本,,,上减少漏洞的产生只有攻防兼备才能真正掌握安全的精髓,Web代码审计实战技巧PHP注入漏洞挖掘文件包含与识别断点调试技术SQL RCE重点关注数据库查询语句检查用户输入是否直检查、、使用配合进行断点调试跟,include requireXdebug PHPStorm,接拼接到语句中搜索关键函数等文件操作函数判断参踪变量变化和函数调用流程深入理解代码执行SQL file_get_contents,,、、数是否可控利用伪协议、和逻辑快速定位漏洞触发点这是代码审计的必:mysql_query mysqli_query php://data://,PDO::query使用预编译语句是最佳防护方目录遍历../可实现任意文件读取或代码执行备技能式框架安全分析框架曾存在多个严重安全漏洞包括版本的远程代码执行、注入、目录穿越ThinkPHP5:TP5,

5.

0.23CVE-2018-20062SQL等通过分析其类、控制器调用机制、模板引擎等核心组件我们可以深入理解框架层面的安全问题这对审计使用该框架开发的应Request,,用非常有帮助安全审计与防护Java安全隐患分析JWTJSON WebToken常见安全问题:•密钥泄露导致Token伪造•算法混淆攻击alg:none•弱密钥暴力破解•Token有效期过长•敏感信息明文存储在Payload建议使用强密钥、验证算法类型、设置合理过期时间、敏感数据加密处理过滤器防护Filter XSSSpring框架可通过Filter实现统一的XSS防护:•对所有请求参数进行HTML编码•过滤script、iframe等危险标签•使用OWASP JavaEncoder进行编码•配置Content-Security-Policy响应头在Filter中包装HttpServletRequest,重写getParameter等方法实现自动过滤安全加固SpringBootSpringBoot应用安全配置要点:•关闭不必要的actuator端点•配置HTTPS强制使用•启用CSRF保护•配置安全响应头X-Frame-Options、X-XSS-Protection•使用Spring Security进行认证授权•禁用调试信息和错误详情返回安全攻防JavaScript代码混淆与反调试跨站脚本防御前端JavaScript代码完全暴露给用户,为保护前端防御XSS的关键措施:核心逻辑和商业机密,需要进行代码混淆:•对用户输入进行HTML实体编码•变量名混淆和字符串加密•使用textContent代替innerHTML•控制流扁平化•避免使用eval、Function等危险函数•死代码注入和垃圾代码•实施严格的CSP策略•反调试检测debugger检测、时间差检•使用DOMPurify等安全库净化HTML测前端验证是辅助,服务端验证才是关键•VM虚拟机保护但要注意,混淆只能增加逆向难度,无法完全防止破解案例某游戏网站反调试绕过:该网站使用了复杂的反调试机制,包括无限debugger、时间检测、控制台检测等通过Hook关键函数、替换debugger语句、使用Chrome扩展绕过检测,最终成功分析出其加密算法,实现了自动化脚本这个案例展示了JavaScript安全防护和绕过的攻防博弈安全开发最佳实践指南输入验证与输出编码永远不要信任用户输入对所有外部输入进行严格验证,包括类型、长度、格式、范围检查输出到不同上下文时使用对应的编码方式:HTML编码、URL编码、JavaScript编码、SQL转义等管理与设计Session TokenSessionID必须足够随机且不可预测,设置合理的过期时间和HttpOnly、Secure标志使用安全的Token机制如JWT,注意密钥管理和Token刷新策略重要操作需要二次验证,防止Session劫持安全日志与异常处理记录详细的安全日志,包括登录尝试、权限变更、敏感操作等日志中不要包含敏感信息如密码、Token异常处理要充分,但不要向用户暴露详细的错误信息和堆栈跟踪,避免信息泄露建立安全监控和告警机制01设计阶段威胁建模、最小权限原则、纵深防御设计02开发阶段使用安全编码规范、安全组件库、代码审查03测试阶段安全测试、渗透测试、漏洞扫描、代码审计04运维阶段安全监控、日志审计、应急响应、补丁管理第五章权限提升与内网安全:获得初始访问权限后攻击者通常需要进行权限提升以获取更高的系统权限并在内网中,,横向移动寻找更有价值的目标本章将介绍和系统的提权技术以及内Windows Linux,网渗透的常用方法内网安全是企业安全的重要组成部分也是红蓝对抗演练的核心内容理解攻击者在内网,中的行为模式有助于我们建立更有效的防御体系,权限提升技术全解12溢出提权令牌窃取Windows利用系统内核或第三方驱动的缓冲区溢出漏洞提权窃取SYSTEM或管理员进程的访问令牌提升权限34绕过服务劫持UAC绕过用户账户控制机制,以管理员权限执行程序利用不安全的服务配置或DLL劫持提权提权技术数据库提权案例Linux脏牛漏洞CVE-2016-5195:利用Linux内核竞争条件漏洞,实现本地权限提升到root MySQLUDF提权:通过用户自定义函数执行系统命令SUID程序利用:查找具有SUID权限的可执行文件,利用其以root身份执行的特性提权MSSQL xp_cmdshell:启用存储过程执行命令内核漏洞利用:针对特定版本的内核漏洞进行exploit编译和利用Oracle Java提权:利用Java权限执行系统命令配置错误利用:sudo配置不当、定时任务权限问题等PostgreSQL大对象:通过大对象读写文件实现提权提权工具推荐:Windows ExploitSuggester漏洞检测、BeRoot提权路径分析、PowerUpPowerShell提权工具、Linux ExploitSuggesterLinux漏洞检测、LinEnumLinux信息收集等这些工具可以自动化发现系统中的提权机会内网渗透与横向移动技术凭据获取信息收集密码抓取、哈希dump、Kerberos票据窃取、浏览器密码域环境探测、网络拓扑发现、资产识别、服务枚举提取权限维持横向移动后门植入、隐蔽通道、权限维持、痕迹清除SMB、WMI、PTH攻击、远程桌面、计划任务横向移动哈希传递票据传递攻击SMB PTH利用Server MessageBlock协议,通过IPC$共享、Pass TheHash攻击无需知道明文密码,直接使用NTLM PassThe Ticket利用Kerberos协议,窃取或伪造票据进psexec、wmic等工具在内网主机间横向传播,执行远程哈希进行身份认证,在域环境中快速扩散Mimikatz是行认证黄金票据Golden Ticket和白银票据Silver命令或上传恶意程序最常用的PTH工具Ticket是最强大的域渗透技术CobaltStrike内网漫游:CS是最流行的红队工具,提供强大的后渗透功能通过Beacon植入控制主机,使用内置的横向移动模块、凭据抓取工具、权限提升exploit,可以在内网中快速扩展渗透范围,最终控制域控制器实现域环境接管课程总结与学习路径规划安全Web漏洞原理、攻防技术、代码审计、安全开发基础知识计算机网络、操作系统、编程语言、数据库内网渗透域环境、横向移动、权限提升、后渗透实战演练CTF竞赛、漏洞复现、靶场训练、红蓝对抗工具使用BurpSuite、SQLMAP、CobaltStrike、Metasploit12扎实基础系统学习深入学习Web架构、HTTP协议、操作系统原理按照本课程体系,从信息收集到漏洞利用逐步掌握34动手实践持续学习搭建靶场环境,复现CVE漏洞,参与实战演练关注安全动态,学习新技术,参与社区交流推荐实战靶场学习资源推荐•DVWA-经典Web漏洞靶场•小迪安全论坛与视频教程。