渗透测试之小白的常见web漏洞总结(上)
字数 1449 2025-08-15 21:31:54

Web渗透测试常见漏洞详解(上)

概述

渗透测试是一个攻防对抗过程,了解常见Web漏洞及其防护措施是成功的关键。当前网站防护主要分为两类:

  • 大型企业:使用深信服、天融信等专业防火墙
  • 小型单位:采用D盾、安全狗或开源WAF(如OpenResty、ModSecurity、NAXSI、WebKnight、Shadow Daemon等)

常见Web漏洞分类

  1. 弱口令
  2. SQL注入
  3. 文件上传漏洞
  4. 命令执行漏洞
  5. 目录遍历/任意文件下载
  6. 文件包含漏洞
  7. 反序列化漏洞
  8. 敏感信息泄露
  9. 跨站请求伪造(CSRF/XSRF)
  10. 跨站脚本漏洞(XSS)
  11. 服务端请求伪造(SSRF)
  12. XXE(外部实体注入)

一、弱口令漏洞

定义

弱口令指容易被猜测或破解的密码,包括:

  • 常见简单密码(如123456)
  • 应用程序默认密码
  • 任何有规律的密码组合

防护措施

  • 防火墙规则
  • 安全狗等防护软件

攻击方法

  1. 手动测试:尝试常见密码组合
  2. 有防护措施时的爆破
    • 分段爆破
    • 延时爆破
    • 动态IP代理
  3. 浏览器弱口令破解
    • 使用Burp Suite爆破
    • 验证码绕过(如reCAPTCHA插件)
    • 动态IP模拟(如fakeip插件)
    • 设置延时(通过Intruder options)

二、SQL注入漏洞

现状

尽管防护措施普及,SQL注入仍然普遍存在,但直接使用sqlmap成功的情况减少。

防护措施

  • 防火墙规则
  • D盾等防护软件

攻击方法

  1. 基本方法
    • 延时注入
    • 延时+动态代理组合
  2. 工具使用
    • 寻找新版绕过脚本(sqlmap自带脚本大多已失效)
  3. 手动Fuzz
    • 使用Burp Suite的Intruder模块
    • 寻找未被过滤的特殊字符
    • 编写自定义注入脚本

三、文件上传漏洞

危害

可直接获取服务器控制权,上传点常见于管理后台,有时也存在于公共页面。

防护措施

  • 防火墙规则
  • D盾/安全狗等防护

绕过方法

  1. 常规绕过
    • 修改文件后缀(大小写、别名等)
    • 修改文件名(添加分号、引号等)
    • 修改文件内容(如图片马)
    • 修改请求包结构
  2. 利用解析漏洞
    • IIS特定版本解析漏洞
    • Apache特定版本解析漏洞
    • Nginx特定版本解析漏洞
  3. 结合其他漏洞
    • 文件包含漏洞配合使用
  4. 组件漏洞利用
    • 识别组件版本后寻找对应漏洞
  5. 自动化工具
    • Burp Suite的upload-scanner插件(效果有限)

四、命令执行漏洞

成因

后端调用命令执行函数时,对前端数据验证/过滤不严格。PHP5.2+已默认禁用相关函数。

防护措施

  • D盾/安全狗无专门防护
  • 防火墙有部分规则

测试方法

  1. 手动测试:尝试各种命令注入方式
  2. 工具扫描
    • Burp Suite主动扫描
    • 其他专业命令注入工具

五、目录遍历/任意文件下载漏洞

定义

不同于目录浏览,此漏洞可访问系统文件(不仅是web目录),本质是设计缺陷而非技术漏洞。

防护措施

  • D盾/安全狗无专门防护
  • 防火墙有部分规则

测试方法

  1. 手动测试常用payload
    • Linux: http://www.xxxx.com/xxx.php?page=etc/passwd
    • Windows: http://www.xxxx.com/xxx.php?page=windows\win.ini
  2. 工具扫描
    • Burp Suite自带扫描器(对复杂情况可能无效)
  3. 高级绕过
    • 研究特定WAF绕过技术

后续内容预告

下篇将详细讲解:文件包含漏洞、反序列化漏洞、敏感信息泄露、CSRF、XSS、SSRF和XXE漏洞的原理、防护及测试方法。

Web渗透测试常见漏洞详解(上) 概述 渗透测试是一个攻防对抗过程,了解常见Web漏洞及其防护措施是成功的关键。当前网站防护主要分为两类: 大型企业:使用深信服、天融信等专业防火墙 小型单位:采用D盾、安全狗或开源WAF(如OpenResty、ModSecurity、NAXSI、WebKnight、Shadow Daemon等) 常见Web漏洞分类 弱口令 SQL注入 文件上传漏洞 命令执行漏洞 目录遍历/任意文件下载 文件包含漏洞 反序列化漏洞 敏感信息泄露 跨站请求伪造(CSRF/XSRF) 跨站脚本漏洞(XSS) 服务端请求伪造(SSRF) XXE(外部实体注入) 一、弱口令漏洞 定义 弱口令指容易被猜测或破解的密码,包括: 常见简单密码(如123456) 应用程序默认密码 任何有规律的密码组合 防护措施 防火墙规则 安全狗等防护软件 攻击方法 手动测试 :尝试常见密码组合 有防护措施时的爆破 : 分段爆破 延时爆破 动态IP代理 浏览器弱口令破解 : 使用Burp Suite爆破 验证码绕过(如reCAPTCHA插件) 动态IP模拟(如fakeip插件) 设置延时(通过Intruder options) 二、SQL注入漏洞 现状 尽管防护措施普及,SQL注入仍然普遍存在,但直接使用sqlmap成功的情况减少。 防护措施 防火墙规则 D盾等防护软件 攻击方法 基本方法 : 延时注入 延时+动态代理组合 工具使用 : 寻找新版绕过脚本(sqlmap自带脚本大多已失效) 手动Fuzz : 使用Burp Suite的Intruder模块 寻找未被过滤的特殊字符 编写自定义注入脚本 三、文件上传漏洞 危害 可直接获取服务器控制权,上传点常见于管理后台,有时也存在于公共页面。 防护措施 防火墙规则 D盾/安全狗等防护 绕过方法 常规绕过 : 修改文件后缀(大小写、别名等) 修改文件名(添加分号、引号等) 修改文件内容(如图片马) 修改请求包结构 利用解析漏洞 : IIS特定版本解析漏洞 Apache特定版本解析漏洞 Nginx特定版本解析漏洞 结合其他漏洞 : 文件包含漏洞配合使用 组件漏洞利用 : 识别组件版本后寻找对应漏洞 自动化工具 : Burp Suite的upload-scanner插件(效果有限) 四、命令执行漏洞 成因 后端调用命令执行函数时,对前端数据验证/过滤不严格。PHP5.2+已默认禁用相关函数。 防护措施 D盾/安全狗无专门防护 防火墙有部分规则 测试方法 手动测试 :尝试各种命令注入方式 工具扫描 : Burp Suite主动扫描 其他专业命令注入工具 五、目录遍历/任意文件下载漏洞 定义 不同于目录浏览,此漏洞可访问系统文件(不仅是web目录),本质是设计缺陷而非技术漏洞。 防护措施 D盾/安全狗无专门防护 防火墙有部分规则 测试方法 手动测试常用payload : Linux: http://www.xxxx.com/xxx.php?page=etc/passwd Windows: http://www.xxxx.com/xxx.php?page=windows\win.ini 工具扫描 : Burp Suite自带扫描器(对复杂情况可能无效) 高级绕过 : 研究特定WAF绕过技术 后续内容预告 下篇将详细讲解:文件包含漏洞、反序列化漏洞、敏感信息泄露、CSRF、XSS、SSRF和XXE漏洞的原理、防护及测试方法。