千锋教育web安全课件

千锋教育安全课件Web第一章安全基础概述Web什么是安全？Web核心定义保护对象重要意义安全是指保护网站、应用程序及其用户隐私数据、企业核心资产、商业机密信安全直接关系到企业品牌信誉、用户信Web WebWeb相关系统免受各种恶意攻击和未授权访问的息以及系统运行的完整性和可用性都是任度、法律合规性以及业务的可持续发展能Web综合性防护措施安全的保护范围力安全的威胁现状Web威胁态势分析30%当前安全面临严峻挑战发Web OWASP布的十大安全漏洞依然是攻击者的Web攻击增长率主要利用目标包括注入攻击、身份认证,年全球攻击事件相比去年增长失效、敏感数据泄露等2025Web了，呈现快速上升趋势30%亿

1.43受影响用户数据泄露事件影响用户数量，创Equifax历史记录安全攻防的基本流程Web信息收集通过各种技术手段收集目标系统的域名、地址、开放端口、使用技术等信息，为后续攻击做准备IP漏洞扫描使用自动化工具或手动测试方法，发现目标系统中存在的安全漏洞和配置缺陷漏洞利用针对发现的漏洞编写或使用现成的攻击代码，尝试获取系统访问权限或窃取敏感数据权限提升在获得初步访问权限后，通过各种技术提升权限级别，获取更高的系统控制能力持续控制建立后门程序，清除攻击痕迹，确保能够长期控制目标系统而不被发现网络攻击链条与防御层级这张图展示了典型的网络攻击链条，从最初的侦察阶段到最终的目标达成，攻击者需要突破多层防御每一层防御的失效都可能导致整个系统的沦陷攻击链条防御层级外部侦察与信息收集网络边界防火墙••漏洞识别与武器化入侵检测与防御系统••初始访问与立足点建立应用层安全防护••横向移动与权限提升数据加密与访问控制••目标达成与数据窃取安全监控与应急响应••第二章信息收集与侦察技术信息收集是渗透测试的第一步，也是最关键的一步正所谓知己知彼，百战不殆，充分的信息收集能够帮助我们全面了解目标系统的架构、技术栈和潜在弱点，为后续的安全测试提供重要依据常用信息收集工具介绍dirsearch NmapWhatWeb功能目录和文件扫描工具功能网络探测和端口扫描功能指纹识别工具Web特点支持多线程扫描，内置丰富的字典特点业界最强大的端口扫描工具，可以识特点能够识别网站使用的系统、CMS Web库，可以快速发现应用中的隐藏目录、别开放端口、运行服务、操作系统类型等信服务器、编程语言、库等技术栈Web JavaScript备份文件和敏感资源适合发现管理后台、息支持脚本引擎，能够进行深度漏洞检信息帮助快速定位潜在的已知漏洞配置文件等关键路径测whatweb-v target.compython3dirsearch.py-u nmap-sV-sC-p-target.comhttp://target.com-ephp,html,js目录扫描实战演示扫描策略实战案例递归扫描逐层深入目录结构在某次渗透测试中，通过工具扫描目标dirsearch网站，发现了/admin、/backup等敏感目录字典选择根据目标技术栈选进一步分析文件，发现了开发者明确标robots.txt择合适字典注的禁止爬取路径/test/、/dev/、速率控制避免触发或WAF IDS/api/internal/等这些路径往往包含未经充分测试的功能或敏感的接口API结果分析重点关注返回码关键发现在目录下发现了备/backup database.sql、、200301403份文件，其中包含了数据库结构和部分测试数据，为后续注入测试提供了重要参考SQL粗心开发者留下的安全隐患备份文件泄露.git目录泄露常见形式产生原因开发者在生产环境中直接部署仓库，导致目录可以Git.git被外部访问编辑器临时文件•index.php.swp Vim严重后果编辑器备份文件•index.php~•index.php.bak手动备份文件•完整源代码泄露•index.php.old旧版本文件•开发历史和注释信息暴露可能包含硬编码的密码和密钥危害这些文件通常包含完整的源代码，攻击者可以通过分析源码发•现数据库连接信息、加密密钥、业务逻辑漏洞等关键信息团队成员信息泄露•利用工具、等工具可以自动还原目录中的完GitHack dvcs-ripper.git整源码安全建议生产环境部署前必须清理所有开发相关文件，配置服务器禁止访问敏感文件类型，使用自动化脚本检查潜在的文件泄露风Web险第三章常见漏洞详解（上）Web应用漏洞是攻击者入侵系统的主要途径本章将详细剖析最常见、危害最大的几类Web漏洞，包括注入、跨站脚本攻击和文件上传漏洞理解这些漏洞的原理和防御Web SQL方法，是构建安全应用的基础WebSQL注入（SQLi）攻击原理SQL注入是指攻击者通过在输入字段中插入恶意SQL语句，欺骗应用程序执行非预期的数据库操作当应用程序未对用户输入进行充分验证和过滤时，就会产生此类漏洞典型攻击场景原始SQL:SELECT*FROM usersWHERE id=$id恶意输入:1OR1=1执行SQL:SELECT*FROM usersWHERE id=1OR1=1跨站脚本攻击（）XSS反射型XSS原理恶意脚本通过URL参数等方式传递，服务器立即返回并执行危害需要诱导用户点击恶意链接存储型XSS示例钓鱼邮件中包含恶意链接，用户点击后触发脚本执行原理恶意脚本被永久存储在目标服务器上（如数据库、留言板）危害影响范围广，所有查看该页面的用户都会受到攻击示例在博客评论中注入脚本，每个访问者的Cookie都会被窃DOM型XSS取原理漏洞存在于客户端脚本中，通过修改DOM环境执行恶意代码危害完全在浏览器端执行，不涉及服务器示例通过修改URL片段标识符触发JavaScript执行XSS攻击的主要危害窃取Cookie和会话令牌获取用户登录凭证，实现账户劫持防护措施钓鱼攻击伪造登录页面，骗取用户密码

1.对所有用户输入进行HTML实体编码网页挂马传播恶意软件和病毒

2.实施严格的内容安全策略（CSP）

3.使用HttpOnly标志保护Cookie文件上传漏洞漏洞原理与危害真实案例分析文件上传漏洞是指Web应用程序未对用户上传某知名电商平台被植入Webshell事件的文件进行严格检查和限制，允许攻击者上传年，某电商平台的商品图片上传功能2019恶意脚本文件（如、、等PHP JSPASP存在验证缺陷，仅验证了文件扩展名而未），从而获得服务器的远程控制权Webshell检查文件内容攻击者通过修改文件扩展限名绕过检测，成功上传PHP Webshell攻击流程攻击者利用获得服务器访问权限Webshell攻击者上传包含恶意代码的文件后，窃取了数千名用户的订单信息和支付

1.数据，造成严重的数据泄露和经济损失通过直接访问上传文件的

2.URL

3.服务器解析执行恶意代码防御措施获得远程命令执行能力

4.白名单验证只允许特定类型文件上传进一步提权或横向移动

5.内容检测验证文件头和实际内容文件重命名使用随机文件名沙箱隔离上传文件存储在独立目录禁止脚本执行配置服务器禁止上传目录Web的脚本执行权限第四章常见漏洞详解（下）Web在上一章的基础上我们继续深入探讨其他关键的安全漏洞、以及认证,Web CSRFRCE会话管理漏洞同样是攻击者常用的攻击手段，理解并防范这些威胁对于构建安全的Web应用至关重要跨站请求伪造（）CSRF用户登录自动发起请求用户正常登录受信任网站A，获得有效会话网站B中的恶意代码自动向网站A发起请求1234访问恶意网站利用会话执行用户在未登出的情况下访问恶意网站B由于会话仍然有效，网站A执行了恶意请求攻击场景示例防护策略攻击者在论坛中发布包含恶意图片的帖子CSRF Token验证为每个敏感操作生成唯一的随机令牌，验证请求中的Token是否匹配img src=https://bank.com/transferto=attackeramount=10000/SameSite Cookie属性设置Cookie的SameSite属性为Strict或Lax，限制跨站请求携带Cookie当已登录银行系统的用户浏览该帖子时，浏览器会自动加载图片，实际上是向银行发起了转账请求由于用户的会话Cookie会自动附加到请求中，转账操作可能被成功执行验证Referer头检查HTTP请求头中的Referer字段，确保请求来自合法来源二次验证对于敏感操作要求用户重新输入密码或验证码远程代码执行（）RCE远程代码执行（Remote CodeExecution）是最危险的漏洞类型之一攻击者通过利用应用程序漏洞，能够在目标服务器上执行任意代码，从而获得完全控制权这类漏洞的影响范围极大，可能导致整个系统沦陷命令注入通过输入特殊字符串，在系统命令中注入恶意指令ping-c

1127.

0.

0.1;rm-rf/反序列化漏洞利用不安全的对象反序列化过程执行恶意代码Java、PHP、Python等语言都存在此类风险模板注入在服务器端模板引擎中注入恶意模板代码常见于Jinja

2、Freemarker等模板引擎表达式注入利用表达式语言（如SpEL、OGNL）的动态特性执行代码著名的Struts2漏洞系列就属于此类防御要点避免动态执行用户输入的代码，对所有外部输入进行严格过滤，使用安全的编程模式和框架，及时更新系统和组件补丁，实施最小权限原则限制应用程序的系统权限认证与会话管理漏洞常见漏洞类型真实案例某知名网站攻击事件弱密码策略2020年某社交网站因会话管理不当遭受大规模账户劫持攻击该网站存在以下安全缺陷允许简单密码、无复杂度要求、无定期更换机制会话ID可预测使用简单的递增数字作为会话标识符无会话超时机制会话长期有效，增加了被劫持的风险会话固定攻击未使用HTTPS会话Cookie在网络传输中可被嗅探无异常检测同一账户在不同地理位置同时登录未触发警报攻击者强制用户使用指定的会话ID进行登录会话劫持窃取或猜测有效的会话令牌，冒充合法用户不安全的会话存储会话ID通过URL传递或存储在不安全位置安全建议•使用强随机数生成会话ID•设置合理的会话超时时间•强制使用HTTPS传输•实施多因素认证（MFA）第五章漏洞扫描与渗透测试工具工欲善其事，必先利其器在安全领域，掌握专业的漏洞扫描和渗透测试工具是安Web全研究人员的必备技能本章将介绍业界最常用、最强大的安全测试工具及其实战应用漏洞扫描工具介绍Burp SuiteOWASP ZAP其他辅助工具定位业界标准的应用安全测试平台定位开源免费的自动化安全扫描工具服务器扫描工具，快速发现配置问Web NiktoWeb题和已知漏洞核心功能核心功能综合漏洞扫描器，覆盖网络、系统和Nessus拦截代理捕获和修改流量被动扫描监听流量自动发现问题•HTTP/HTTPS•应用层扫描器自动发现常见漏洞主动扫描主动探测漏洞••自动化注入检测和利用工具SQLMap SQL爬虫自动探索应用结构支持可集成到流程••API CI/CD渗透测试框架，包含大量漏洞利用Metasploit渗透工具、等插件生态丰富的扩展功能•Repeater Intruder•模块适用场景手动渗透测试、漏洞验证、深度安全适用场景自动化安全测试、持续集成、开发阶评估段安全检查渗透测试实战流程信息收集目标全面了解测试目标•域名和子域名枚举•端口和服务识别•技术栈指纹识别•公开情报收集（OSINT）工具Nmap、WhatWeb、Shodan漏洞发现目标识别系统中的安全弱点•自动化扫描（ZAP、Nessus）•手动测试常见漏洞•业务逻辑漏洞分析•配置错误检查工具Burp Suite、Nikto利用验证目标确认漏洞的真实性和影响•构造PoC（概念验证）•测试漏洞可利用性•评估安全影响•记录利用过程工具SQLMap、Metasploit权限提升目标获得更高级别的系统访问权限•本地提权漏洞利用•配置错误利用•横向移动尝试•持久化访问建立工具LinPEAS、WinPEAS报告编写目标清晰呈现发现和建议•执行摘要（管理层）实战演示使用发现并利用漏洞Burp SuiteXSS演示场景某在线论坛的评论功能存在XSS漏洞0102配置Burp Suite代理捕获正常请求启动Burp Suite，配置浏览器代理为

127.

0.

0.1:8080，安装Burp CA证书以拦截HTTPS流量在论坛中提交一条正常评论，在Burp的Proxy模块中捕获POST请求，发送到Repeater模块0304注入测试载荷分析响应修改评论内容为XSS测试载荷scriptalertXSS/script，发送请求观察服务器响应，检查是否对特殊字符进行了编码或过滤0506绕过过滤验证漏洞如果存在过滤，尝试使用不同的绕过技术大小写变换、编码转换、事件处理器等访问评论页面，确认JavaScript代码被成功执行，弹出警告框常见XSS测试载荷利用建议在真实渗透测试中，应该使用更有意义的载荷来演示漏洞的实际影响，例如窃取Cookie、重定向scriptalertdocument.cookie/script到钓鱼页面等同时，要在测试报告中清晰说明漏洞的风险等级和修复方案img src=x onerror=alertXSSsvg onload=alertXSSjavascript:alertXSSiframe src=javascript:alertXSS第六章安全加固与防御策略防御永远比攻击更重要在了解了各种攻击手段后，我们需要构建完善的安全防御体系本章将介绍从代码层面到网络层面的全方位安全加固措施，帮助你打造坚不可摧的应用Web安全编码规范输入验证原则输出编码原则最小权限原则永远不要信任用户输入是安全编码的第一准则根据上下文选择合适的编码方式，防止XSS等注入攻应用程序只应该拥有完成任务所需的最小权限，限制潜击在攻击的影响范围白名单验证只接受明确允许的输入格式和内容长度限制限制输入字段的最大长度HTML编码转义等HTML特殊字符数据库权限使用只读账户进行查询操作类型检查验证数据类型是否符合预期JavaScript编码在JS上下文中使用适当的转义文件系统权限限制应用对文件系统的访问范围格式验证使用正则表达式验证邮箱、电话等格式URL编码对URL参数进行编码网络权限限制应用的网络访问能力编码在上下文中使用特殊编码用户权限实施基于角色的访问控制（）范围检查确保数值在合理范围内CSS CSSRBAC例如，数据库连接应该使用专门的账户，该账户只有特//错误示例//HTML上下文定表的特定操作权限，而不是root或管理员账户echo htmlspecialchars$userInput,$id=$_GET[id];ENT_QUOTES,UTF-8;$sql=SELECT*FROM usersWHEREid=$id;//正确示例//JavaScript上下文echo json_encode$userInput,$id=filter_inputINPUT_GET,id,JSON_HEX_TAG|JSON_HEX_AMP;FILTER_VALIDATE_INT;if$id!==false$id0{//URL上下文$stmt=$pdo-prepareecho urlencode$userInput;SELECT*FROM usersWHEREid=;$stmt-execute[$id];}应用防火墙（）Web WAFWAF的核心功能部署方式Web应用防火墙是部署在Web应用程序前面的安全屏障，能够检测和阻止恶意HTTP/HTTPS流量攻击检测与拦截识别SQL注入、XSS、命令注入等常见攻击模式，实时拦截恶意请求虚拟补丁在应用程序修复漏洞前提供临时防护，缓解零日漏洞风险访问控制实施IP白名单/黑名单、地理位置限制、速率限制等策略日志与审计记录所有安全事件，提供详细的攻击分析和报告反向代理模式WAF作为反向代理部署在应用前端桥接模式透明部署，不改变网络拓扑云WAF基于云服务的WAF，无需本地部署真实案例阿里云WAF防御实战某电商客户在双十一期间遭遇DDoS攻击和应用层攻击的混合攻击阿里云WAF在24小时内拦截了超过100万次恶意请求，包括6万次SQL注入尝试、8万次XSS攻击和大量的爬虫流量第七章实战案例分析理论知识需要结合实际案例才能真正理解和掌握本章通过两个真实的安全事件案例，深入剖析攻击者的手法、攻击过程以及防御措施，帮助你将所学知识应用到实际场景中案例一某电商平台SQL注入攻击全过程事件背景2023年某中型电商平台遭遇SQL注入攻击，导致超过20万用户的个人信息和订单数据泄露攻击者利用商品搜索功能的漏洞，逐步提升权限并窃取了整个数据库阶段一漏洞发现1攻击者通过Google Hacking技术发现该平台的搜索URL存在可疑参数在搜索关键词中添加单引号测试后，页面返回数据库错误信息，确认存在SQL注入点2阶段二信息收集https://shop.com/searchkeyword=手机利用UNION查询和信息架构表，攻击者获取了数据库版本、表名、列名等关键信息确定目标数据库为MySQL

5.7，包含users、orders、payments等敏感表阶段三数据窃取3keyword=UNION SELECT1,table_name,3通过构造精心设计的SQL语句，攻击者批量导出了用户表中的姓名、电话、地址、加密密码（MD5哈希）等信息由于密码FROM information_schema.tables--使用了弱哈希算法且无盐值，大部分密码被轻易破解4阶段四权限提升攻击者发现数据库用户具有FILE权限，利用INTO OUTFILE命令写入WebShell到Web目录，获得了服务器的远程命令执行能力SELECT phpeval$_POST[cmd];INTO OUTFILE/var/www/html/shell.php后果分析修复措施与经验总结数据泄露205,342名用户信息外泄代码修复全面重构数据库查询代码，使用参数化查询经济损失直接损失约800万元，包括赔偿、罚款和业务中断权限限制收回数据库用户的FILE等危险权限品牌损害用户信任度大幅下降，大量用户流失密码加固升级为bcrypt等现代哈希算法，添加盐值法律责任因违反数据保护法规被监管部门处罚WAF部署部署Web应用防火墙，拦截SQL注入攻击安全审计聘请第三方机构进行全面安全审计监控告警建立实时安全监控和异常告警机制关键教训这个案例充分说明了单点防御的脆弱性如果该平台在代码层面、权限管理、监控告警等任何一个环节做好安全措施,都可能避免或减轻损失纵深防御策略是Web安全的核心原则案例二Git泄露导致源码泄露事件事件经过影响范围发现时间2024年1月受影响对象某金融科技公司核心交易系统泄露过程100%初始部署错误运维人员在生产服务器上直接使用git clone部署代码，.git目录被一同部署到Web根目录目录可访问Web服务器配置不当，.git目录可以被外部访问被黑客发现安全研究人员通过自动化扫描工具发现该漏洞源码还原使用GitHack等工具成功还原了完整的Git仓库和所有历史提交源码泄露完整的应用程序源代码47API密钥第三方服务的API密钥数量3数据库密码生产环境数据库连接信息暴露的敏感信息•数据库连接字符串和密码成为Web安全高手的必经之路实战演练持续学习理论学习必须结合实践利用DVWA、WebGoat、HackTheBox等安全训练平台进行实战演练，参与CTF竞赛，在合法授权的环境下进行渗Web安全技术日新月异，新的漏洞类型和攻击手法不断涌现保持学习的习惯，关注安全社区、技术博客、CVE漏洞库等资源，及时了解最透测试，积累实战经验新的安全动态和研究成果防御思维漏洞追踪不仅要学会如何攻击，更要培养防御思维从安全架构设计、安全编码规范、防御策略制定等多个角度思考问题，建立完整的安全知识体订阅安全公告和漏洞通知，关注OWASP Top

10、SANS Top25等权威漏洞排名，研究重大安全事件的技术细节，从实际案例中学习攻防对系抗经验推荐学习资源千锋教育助力你的安全职业成长在线平台HackTheBox、TryHackMe、PortSwigger Academy千锋教育提供系统化的Web安全培训课程，涵盖从基础到高级的完整知识体系我们拥有漏洞库CVE、NVD、Exploit-DB•实战导向的课程设计安全工具Kali Linux、Parrot Security•经验丰富的安全专家讲师社区论坛FreeBuf、先知社区、Github SecurityLab•真实企业级项目实训认证考试OSCP、CEH、CISSP•完善的就业服务支持加入千锋教育，开启你的Web安全职业之旅！安全不是产品，而是一个过程—Bruce SchneierWeb安全的学习永无止境，但每一步努力都会让你更接近成为真正的安全专家保持好奇心，勤于实践，坚持学习，你终将在Web安全领域有所建树。