小迪web安全培训课件

小迪Web安全培训课件从基础入门到高级攻防实战第一章:Web安全基础与环境搭建Web安全的学习之旅从理解基础架构开始。本章将带您深入了解Web应用的工作原理,掌握必备的环境搭建技能,为后续的攻防实战打下坚实基础。Web安全为何如此重要?30%攻击增长率2024年全球网络攻击事件同比增长90%漏洞占比数据泄露源于Web应用漏洞100%课程覆盖小迪安全课程全链路防护体系Web应用架构全景解析前端层用户界面、JavaScript交互、浏览器渲染后端层业务逻辑处理、API接口、身份认证数据层数据库存储、缓存系统、文件服务现代Web应用采用复杂的分层架构,包括站库分离、负载均衡、CDN加速等技术。理解这些架构对于发现安全漏洞至关重要。环境搭建实操演示云服务器配置选择主流云服务提供商进行服务器购买与配置:阿里云ECS实例创建与安全组配置腾讯云CVM服务器SSH密钥管理防火墙规则设置与端口开放系统初始化与安全加固域名与Web服务完整的域名解析与Web服务器部署:域名注册与DNS解析配置IIS服务器安装与站点创建Nginx反向代理配置Apache虚拟主机设置掌握环境搭建是进行安全测试的第一步。我们将从零开始,手把手教您搭建完整的测试环境,包括Web服务器、数据库、以及各类中间件的安装配置。这些实操技能将贯穿整个课程的学习过程。HTTP协议与抓包技术深度解析01HTTP请求结构请求行(方法、URI、版本)、请求头部(Host、Cookie、User-Agent)、请求体(POST数据)02HTTP响应分析状态行(状态码含义)、响应头部(Server、Set-Cookie)、响应体(HTML/JSON数据)03状态码安全影响200成功、302重定向、403权限、404未找到、500服务器错误的安全意义04BurpSuite实战代理设置、拦截修改、重放攻击、扫描器使用、插件扩展HTTP协议是Web应用通信的基础,深入理解其工作机制对于发现安全漏洞至关重要。通过BurpSuite等专业工具,我们可以拦截、分析、修改HTTP请求和响应,这是渗透测试中最常用的技术手段。抓包是攻防的第一步BurpSuite是Web安全测试中最强大的工具之一。通过设置浏览器代理,我们可以实时查看和修改所有HTTP通信内容,发现隐藏的安全漏洞。掌握抓包技术,就掌握了Web安全分析的核心能力。第二章:信息收集与资产打点信息收集是渗透测试的第一阶段,也是最关键的阶段。通过系统的资产识别和信息搜集,我们可以全面了解目标系统的攻击面,为后续的漏洞挖掘和渗透测试奠定基础。本章将介绍专业的信息收集方法论和工具使用技巧,帮助您构建完整的目标画像,提高渗透测试的成功率和效率。信息收集的战略重要性资产识别维度子域名枚举与爆破IP段识别与端口扫描服务指纹识别CMS框架识别漏洞预判策略历史漏洞关联分析攻击面缩小与优先级敏感信息泄露发现弱口令批量检测专业工具推荐Fofa网络空间测绘Quake资产搜索引擎Shodan物联网搜索Hunter网络资产测绘系统化的信息收集能够帮助我们构建目标的完整拓扑图,发现潜在的安全隐患。通过专业的网络空间测绘工具,我们可以快速定位脆弱的资产,大幅提升渗透测试效率。资产泄露典型案例深度剖析案例一:GitHub源码泄露事件某互联网公司开发人员将包含数据库配置文件的代码推送至公开仓库,配置文件中包含生产环境的数据库账号密码。攻击者通过GitHub搜索发现该泄露,直接连接数据库获取了超过200万用户的敏感信息。教训:永远不要在代码仓库中硬编码敏感信息,使用环境变量或密钥管理服务。案例二:CMS漏洞批量利用某知名CMS系统曝出远程代码执行漏洞(CVE-2023-XXXX),由于大量网站使用该系统且未及时更新,攻击者利用Fofa批量搜索存在漏洞的目标,在短时间内入侵了超过5000个网站,植入挖矿木马和后门。教训:及时更新系统补丁,关注CVE漏洞公告,建立漏洞应急响应机制。CDN绕过与WAF识别技巧CDN隐藏真实IP的原理CDN(内容分发网络)通过在全球部署大量节点服务器,将用户请求分发到最近的节点,从而加速访问并隐藏源站真实IP。攻击者无法直接攻击源站,必须先找到真实IP。真实IP获取方法查询历史DNS解析记录扫描子域名寻找未使用CDN的站点邮件服务器IP回溯SSL证书查询关联域名利用phpinfo等敏感文件泄露WAF识别与绕过Web应用防火墙(WAF)通过规则匹配拦截恶意请求。识别WAF类型有助于制定针对性绕过策略。通过响应头识别WAF类型构造特殊Payload测试规则编码绕过(URL、Unicode、十六进制)分块传输绕过协议层面绕过技巧实战演示:在实际测试中,我们成功绕过某知名WAF产品,通过Base64编码和大小写混淆相结合的方式,成功执行SQL注入攻击,获取了数据库管理员权限。这个案例说明,即使部署了安全防护设备,如果配置不当或规则不完善,仍然存在被绕过的风险。第三章:核心Web漏洞详解Web漏洞是攻击者入侵系统的主要途径。本章将深入讲解SQL注入、文件上传、XSS、CSRF、SSRF、RCE等核心漏洞类型,从原理到利用,从检测到防御,构建完整的漏洞知识体系。我们将通过大量真实案例和实战演练,帮助您深刻理解每一种漏洞的本质,掌握漏洞挖掘和利用技巧,同时学会如何从开发者角度进行有效防护。SQL注入(SQLi)全面解析1错误型注入通过数据库错误信息获取数据结构,利用报错函数如extractvalue()、updatexml()进行注入2布尔盲注根据页面返回的真假判断,逐字猜解数据库内容,通过substr()、ascii()等函数实现3时间盲注利用sleep()、benchmark()等函数造成延迟,根据响应时间判断条件真假4堆叠注入利用分号执行多条SQL语句,可进行增删改查等任意操作,危害巨大不同数据库系统的注入技巧存在差异。MySQL支持堆叠查询和UNION注入,Oracle需要使用ROWNUM,MSSQL可利用xp_cmdshell执行系统命令,MongoDB的NoSQL注入则需要构造特殊的JSON查询语句。SQLMAP是最强大的SQL注入自动化工具,支持检测和利用各种注入类型。掌握其参数使用技巧,如--tamper绕过WAF、--os-shell获取系统权限、--sql-shell执行任意SQL,可以大幅提升渗透测试效率。SQL注入实战案例深度分析"一个简单的SQL注入漏洞,导致某金融网站百万级用户的身份证号、银行卡信息、交易记录全部泄露,直接经济损失超过2000万元,公司股价暴跌15%。"漏洞发现登录接口username参数未过滤,存在字符型注入点,通过单引号闭合测试发现异常漏洞利用使用UNION联合查询获取数据库名、表名、列名,最终导出users表全部数据WAF绕过通过注释符/**/分隔关键字、大小写混淆、内联注释等技巧绕过防护规则防护建议使用预编译语句(PreparedStatement)严格的输入验证和过滤最小权限原则配置数据库账号部署WAF并定期更新规则敏感数据加密存储应急响应措施立即修复漏洞并更新系统排查日志确定数据泄露范围强制用户修改密码通知受影响用户并报告监管评估法律责任并采取补救文件上传漏洞攻防技术上传点安全风险未经过滤的文件上传功能允许攻击者上传恶意脚本文件(如.php、.jsp、.asp),通过访问该文件即可执行任意代码,获取服务器控制权。这是最直接也最危险的攻击方式之一。黑白名单绕过技巧黑名单绕过:利用大小写混淆(.PhP)、双重后缀(.php.jpg)、空格截断、点号绕过(.php.)、解析漏洞(.php3/.phtml)等方法。白名单绕过:00截断、MIME类型伪造、文件头伪造、条件竞争等高级技巧。编辑器解析漏洞FCKeditor、eWebEditor、UEditor等富文本编辑器历史上存在大量上传漏洞。攻击者通过构造特殊请求绕过前端校验,直接调用后端上传接口,上传Webshell获取服务器权限。防护最佳实践:1)白名单限制文件类型2)重命名上传文件,使用随机文件名3)存储在Web目录外或独立存储服务4)验证文件头魔术字节5)禁止执行权限,配置.htaccess或web.config6)病毒扫描和沙箱检测。XSS跨站脚本攻击详解反射型XSS恶意脚本通过URL参数传递,服务器未过滤直接输出到页面。攻击者构造恶意链接诱导用户点击,窃取Cookie或执行恶意操作。特点是非持久化,需要用户交互。存储型XSS恶意脚本被存储在数据库中,当其他用户访问包含该数据的页面时自动执行。危害最大,可影响所有访问用户。常见于评论、留言板、个人资料等功能。DOM型XSS纯客户端漏洞,恶意代码通过修改页面DOM结构执行。不经过服务器,难以通过服务端防护检测。常见于document.write()、innerHTML等操作。防护机制HttpOnly标志:设置Cookie的HttpOnly属性,防止JavaScript访问,有效防止Cookie被盗。CSP内容安全策略:通过HTTP头部限制资源加载来源,禁止内联脚本执行,从根本上防御XSS攻击。真实案例某大型电商平台商品评论功能存在存储型XSS漏洞,攻击者在评论中插入恶意脚本,导致访问该商品页面的用户Cookie被窃取。短短2小时内,超过3000个账号被盗,用户余额被转移。CSRF与SSRF漏洞攻防CSRF跨站请求伪造攻击原理:利用用户已登录的身份,诱导用户访问恶意页面,该页面自动发起请求到目标网站,执行敏感操作如转账、修改密码等。危害场景:资金转账、密码修改、账号绑定、数据删除等需要认证的操作都可能被CSRF攻击。SSRF服务端请求伪造攻击原理:利用服务器发起请求的功能,构造恶意URL使服务器访问内网资源或任意外部地址,绕过防火墙限制。危害场景:内网端口扫描、内网服务探测、读取本地文件、攻击内网应用、云服务元数据泄露。01CSRF防御:Token验证为每个敏感操作生成随机Token,在请求中携带并在服务端验证,确保请求来自合法页面02CSRF防御:Referer校验检查HTTP请求头的Referer字段,验证请求来源是否为可信域名,拒绝来自外部的请求03SSRF防御:白名单限制限制服务器可访问的URL范围,仅允许访问特定的外部域名或IP地址04SSRF防御:内网隔离禁止访问内网IP段(/8、/12、/16)和本地地址()SSRF内网探测实战演示:通过某网站的图片代理功能,我们构造URL访问内网-255段的各个端口,成功发现内网运行着Redis、MySQL、MongoDB等服务,部分服务未设置密码,可直接连接获取敏感数据。RCE远程代码执行漏洞代码执行漏洞是最高危的安全问题代码执行成因eval()、assert()、system()等危险函数直接执行用户输入,或通过反序列化、模板注入等方式间接执行代码过滤绕过技巧字符串拼接、变量覆盖、编码绕过、无字母数字Shell、利用通配符、环境变量利用等高级绕过方法无回显利用通过DNS外带、HTTP请求外带、延时判断、文件写入等方式在无回显情况下确认漏洞并获取数据案例分析:某知名CMS系统存在模板注入漏洞,攻击者通过构造特殊的模板语法,成功执行任意PHP代码。利用该漏洞,攻击者批量入侵了使用该CMS的数千个网站,植入后门程序。部分网站被植入挖矿脚本,服务器资源被耗尽导致全站瘫痪;部分网站数据库被加密勒索,支付赎金后才能恢复。这个案例说明RCE漏洞的危害是毁灭性的,必须高度重视代码安全审计。逻辑漏洞与权限越权攻击水平越权攻击者通过修改参数访问同级别其他用户的数据。例如修改用户ID查看他人订单信息、修改账号查看他人私信内容。检测方法:注册多个测试账号,交叉测试是否能访问彼此的数据。垂直越权普通用户通过修改参数访问管理员功能。例如普通用户直接访问管理后台URL、调用管理员API接口。检测方法:使用普通账号尝试访问管理功能,观察是否进行了权限校验。登录绕过案例某网站登录验证仅在前端进行,后端未校验Session。攻击者直接访问登录后的URL,成功绕过认证进入系统。支付篡改案例某电商支付金额参数未加密签名,攻击者将价格改为0.01元,成功以极低价格购买商品,造成商家巨额损失。接口安全设计每个接口都必须进行身份认证、权限校验、参数签名验证。关键操作需要二次验证,防止越权和篡改攻击。反序列化漏洞深度剖析1PHP反序列化原理unserialize()函数将序列化字符串还原为对象,若数据可控则可构造恶意对象,通过魔术方法(__wakeup、__destruct、__toString等)触发代码执行2Java反序列化原理ObjectInputStream.readObject()反序列化对象时,若类实现了Serializable接口并重写了readObject方法,可在反序列化过程中执行任意代码3POP链构造技术Property-OrientedProgramming,通过连接多个类的魔术方法,构造完整的利用链,最终实现代码执行或文件操作等恶意行为4CVE漏洞复现ApacheCommonsCollections、FastJSON、Log4j等组件存在反序列化漏洞,学习CVE漏洞的分析和复现过程,理解漏洞利用原理经典漏洞案例ApacheCommonsCollections(CVE-2015-6420)FastJSON远程代码执行Log4j2JNDI注入(CVE-2021-44228)ThinkPHP反序列化RCE防护建议避免反序列化不可信数据使用白名单限制可反序列化的类升级修复已知漏洞的组件使用安全的序列化方式如JSONXXE与XML安全威胁外部实体注入原理XML外部实体(XXE)允许引用外部资源。当XML解析器处理用户可控的XML数据且未禁用外部实体时,攻击者可读取服务器文件、探测内网、进行SSRF攻击。无回显盲注技术当服务器不返回XML解析结果时,通过外部DTD引用、DNS解析、HTTP请求等方式将数据外带到攻击者服务器,实现盲注攻击。OOB带外数据技术Out-of-Band技术通过构造特殊的外部实体,使服务器主动向攻击者的服务器发起请求,携带敏感数据,绕过防火墙和过滤限制。<!DOCTYPEfoo[<!ENTITYxxeSYSTEM"file:///etc/passwd">]><root><data>&xxe;</data></root>1禁用外部实体在XML解析器中显式禁用外部实体和DTD处理功能2使用安全解析器选择默认安全配置的XML解析库,避免使用过时的不安全组件3输入验证过滤验证XML结构,过滤特殊字符,使用白名单限制允许的标签第四章:代码审计与安全开发代码审计是从源代码层面发现安全漏洞的技术,也是安全开发的重要环节。本章将介绍PHP、Java、JavaScript等主流语言的代码审计方法,学习如何通过阅读代码发现潜在的安全问题。同时,我们将探讨安全开发的最佳实践,从开发者的角度理解如何编写安全的代码,从根本上减少漏洞的产生。只有攻防兼备,才能真正掌握Web安全的精髓。PHP代码审计实战技巧SQL注入漏洞挖掘重点关注数据库查询语句,检查用户输入是否直接拼接到SQL语句中。搜索关键函数:mysql_query()、mysqli_query()、PDO::query()。使用预编译语句是最佳防护方式。文件包含与RCE识别检查include()、require()、file_get_contents()等文件操作函数,判断参数是否可控。利用伪协议(php://、data://)和目录遍历(../)可实现任意文件读取或代码执行。断点调试技术使用Xdebug配合PHPStorm进行断点调试,跟踪变量变化和函数调用流程,深入理解代码执行逻辑,快速定位漏洞触发点。这是代码审计的必备技能。ThinkPHP5框架安全分析:TP5框架曾存在多个严重安全漏洞,包括5.0.23版本的远程代码执行(CVE-2018-20062)、SQL注入、目录穿越等。通过分析其Request类、控制器调用机制、模板引擎等核心组件,我们可以深入理解框架层面的安全问题,这对审计使用该框架开发的应用非常有帮助。Java安全审计与防护JWT安全隐患分析JSONWebToken常见安全问题:密钥泄露导致Token伪造算法混淆攻击(alg:none)弱密钥暴力破解Token有效期过长敏感信息明文存储在Payload建议使用强密钥、验证算法类型、设置合理过期时间、敏感数据加密处理。Filter过滤器XSS防护Spring框架可通过Filter实现统一的XSS防护:对所有请求参数进行HTML编码过滤script、iframe等危险标签使用OWASPJavaEncoder进行编码配置Content-Security-Policy响应头在Filter中包装HttpServletRequest,重写getParameter等方法实现自动过滤。SpringBoot安全加固SpringBoot应用安全配置要点:关闭不必要的actuator端点配置HTTPS强制使用启用CSRF保护配置安全响应头(X-Frame-Options、X-XSS-Protection)使用SpringSecurity进行认证授权禁用调试信息和错误详情返回JavaScript安全攻防代码混淆与反调试前端JavaScript代码完全暴露给用户,为保护核心逻辑和商业机密,需要进行代码混淆:变量名混淆和字符串加密控制流扁平化死代码注入和垃圾代码反调试检测(debugger检测、时间差检测)VM虚拟机保护但要注意,混淆只能增加逆向难度,无法完全防止破解。跨站脚本防御前端防御XSS的关键措施:对用户输入进行HTML实体编码使用textContent代替innerHTML避免使用eval()、Function()等危险函数实施严格的CSP策略使用DOMPurify等安全库净化HTML前端验证是辅助,服务端验证才是关键。案例:某游戏网站反调试绕过该网站使用了复杂的反调试机制,包括无限debugger、时间检测、控制台检测等。通过Hook关键函数、替换debugger语句、使用Chrome扩展绕过检测,最终成功分析出其加密算法,实现了自动化脚本。这个案例展示了JavaScript安全防护和绕过的攻防博弈。安全开发最佳实践指南输入验证与输出编码永远不要信任用户输入。对所有外部输入进行严格验证,包括类型、长度、格式、范围检查。输出到不同上下文时使用对应的编码方式:HTML编码、URL编码、JavaScript编码、SQL转义等。Session管理与Token设计SessionID必须足够随机且不可预测,设置合理的过期时间和HttpOnly、Secure标志。使用安全的Token机制如JWT,注意密钥管理和Token刷新策略。重要操作需要二次验证,防止Session劫持。安全日志与异常处理记录详细的安全日志,包括登录尝试、权限变更、敏感操作等。日志中不要包含敏感信息如密码、Token。异常处理要充分,但不要向用户暴露详细的错误信息和堆栈跟踪,避免信息泄露。建立安全监控和告警机制。01设计阶段威胁建模、最小权限原则、纵深防御设计02开发阶段使用安全编码规范、安全组件库、代码审查03测试阶段安全测试、渗透测试、漏洞扫描、代码审计04运维阶段安全监控、日志审计、应急响应、补丁管理第五章:权限提升与内网安全获得初始访问权限后,攻击者通常需要进行权限提升以获取更高的系统权限,并在内网中横向移动寻找更有价值的目标。本章将介绍Windows和Linux系统的提权技术,以及内网渗透的常用方法。内网安全是企业安全的重要组成部分,也是红蓝对抗演练的核心内容。理解攻击者在内网中的行为模式,有助于我们建立更有效的防御体系。权限提升技术全解1Windows溢出提权利用系统内核或第三方驱动的缓冲区溢出漏洞提权2令牌窃取窃取SYSTEM或管理员进程的访问令牌提升权限3UAC绕过绕过用户账户控制机制,以管理员权限执行程序4服务劫持利用不安全的服务配置或DLL劫持提权Linux提权技术脏牛漏洞(CVE-2016-5195):利用Linux内核竞争条件漏洞,实现本地权限提升到rootSUID程序利用:查找具有SUID权限的可执行文件,利用其以root身份执行的特性提权内核漏洞利用:针对特定版本的内核漏洞进行exploit编译和利用配置错误利用:sudo配置不当、定时任务权限问题等数据库提权案例MySQLUDF提权:通过用户自定义函数执行系统命令MSSQLxp_cmdshell:启用存储过程执行命令OracleJava提权:利用Java权限执行系统命令PostgreSQL大对象:通过大对象读写文件实现提权提权工具推荐:WindowsExploitSuggester(漏洞检测)、BeRoot(提权路径分析)、PowerUp(PowerShell提权工具)、LinuxExploitSuggester(Linux漏洞检测)、LinEnum(Linux信息收集)等。这些工具可以自动化发现系统中的提权机会。内网渗透与横向移动技术信息收集域环境探测、网络拓扑发现、资产识别、服务枚举凭据获取密码抓取、哈希dump、Kerberos票据窃取、浏览器密码提取横向移动SMB、WMI、PTH攻击、远程桌面、计