专注Web及移动安全[红日安全60期]
字数 2147 2025-08-18 11:37:42

Web及移动安全知识体系教学文档

一、安全动态与漏洞预警

1.1 近期重要漏洞

  1. WebLogic漏洞系列

    • CVE-2018-3245:Java反序列化漏洞
    • CVE-2018-3191:反序列化漏洞
    • CVE-2018-3246:XXE漏洞
    • 影响版本:多个WebLogic版本
    • 利用方式:通过T3协议进行反序列化攻击

  2. Tomcat漏洞

    • CVE-2016-8735:反序列化漏洞
    • 影响组件:JMX连接器
    • 修复建议:升级到最新版本

  3. Xorg X Server漏洞

    • CVE-2018-14665:权限提升漏洞
    • 影响系统:Linux图形界面环境
    • 利用场景:本地用户提权

  4. Struts2变种漏洞

    • 最新变种攻击方式分析
    • 防护措施:输入验证和过滤

1.2 安全建设思路

  1. 甲方安全建设框架:

    • 安全治理体系
    • 风险评估方法
    • 安全运营流程

  2. VPN安全设计:

    • 安全部署方案
    • 认证机制强化
    • 访问控制策略

二、Web安全核心技术

2.1 会话管理机制

  1. Cookie与Session详解

    • Cookie工作机制:
      • 服务端设置与客户端存储
      • 属性分析(Secure/HttpOnly/Domain/Path)
    • Session管理:
      • 服务端会话存储
      • Session ID生成与保护

  2. Cookie篡改攻击

    • 常见篡改手法:
      • 修改用户身份标识
      • 修改权限标识
      • 修改敏感参数
    • 防护措施:
      • 签名验证
      • HTTPOnly设置
      • 定期更换Session ID

2.2 注入类漏洞

  1. 命令注入

    • 典型漏洞场景:
      • 系统命令拼接
      • 参数未过滤
    • 利用方式:
      • 管道符注入
      • 命令串联
    • 防御方案:
      • 白名单过滤
      • 参数化调用

  2. SQL注入

    • sqlmap高级用法:
      • 自动化检测技术
      • 绕过WAF技巧
      • 数据提取方法
    • 防御体系:
      • 预编译语句
      • 输入验证
      • 最小权限原则

2.3 XXE漏洞

  1. WebLogic XXE案例

    • 漏洞触发点分析
    • XML解析配置问题
    • 外部实体注入利用

  2. XXE防御方案

    • 禁用外部实体
    • 使用安全XML解析器
    • 输入过滤机制

2.4 业务逻辑漏洞

  1. 越权漏洞

    • 水平越权:
      • ID枚举攻击
      • 参数预测
    • 垂直越权:
      • 功能未授权访问
      • 权限校验缺失
    • 测试方法:
      • 修改请求参数
      • 替换身份令牌

  2. 交易平台XSS案例

    • Tradingview DOM XSS分析
    • 富文本过滤绕过
    • 恶意脚本注入点

三、渗透测试技术体系

3.1 信息收集

  1. 被动信息收集

    • WHOIS查询
    • DNS记录分析
    • 搜索引擎技巧
    • 证书信息收集

  2. 内网入口发现

    • 常见入口点:
      • VPN登录页面
      • 远程管理接口
      • 员工门户
    • 识别方法:
      • 子域名枚举
      • 端口扫描
      • 错误信息分析

3.2 提权技术

  1. NC反弹提权

    • 利用场景:
      • 受限命令执行
      • 防火墙绕过
    • 操作步骤:
      • 监听端配置
      • 目标端连接
      • 交互式Shell获取

  2. 端口转发技术

    • lcx功能实现:
      • 本地端口转发
      • 远程端口转发
      • 多级跳板应用

3.3 渗透实战案例

  1. 福利站渗透过程

    • 漏洞链构建:
      • SQL注入入口
      • 后台获取
      • 文件上传利用
    • 权限维持方法

  2. 网站渗透思路

    • 攻击面分析
    • 漏洞优先级评估
    • 横向移动策略

3.4 日志分析

  1. Web日志取证
    • 关键日志字段:
      • 访问时间
      • 源IP
      • 请求方法
      • 状态码
    • 攻击特征识别:
      • 扫描行为
      • 注入尝试
      • 异常访问

四、安全工具使用指南

4.1 网络分析工具

  1. Wireshark高级用法

    • 过滤器语法:
      • 协议过滤
      • IP过滤
      • 内容匹配
    • 攻击流量分析:
      • 暴力破解特征
      • 数据泄露检测

  2. Tcpdump实战

    • 常用参数:
      • -i 指定接口
      • -w 保存文件
      • -r 读取文件
    • 高级捕获技巧:
      • 特定端口捕获
      • 数据包切片

4.2 渗透测试框架

  1. Metasploit核心模块

    • 漏洞利用模块:
      • 选择与配置
      • 参数设置
    • 后渗透模块:
      • 信息收集
      • 权限提升
      • 横向移动

  2. ANDRAX移动平台

    • Android渗透测试环境
    • 工具集成方案
    • 移动端攻击模拟

五、代码审计技术

5.1 Java项目审计

  1. 反序列化漏洞

    • 危险类识别:
      • InvokerTransformer
      • TemplatesImpl
    • 调用链分析:
      • 入口点定位
      • 利用链构造

  2. 安全编码规范

    • 输入验证原则
    • 安全API使用
    • 危险函数替换

六、防御体系建设

6.1 WebLogic防护

  1. 反序列化防御

    • T3协议过滤
    • JEP290机制
    • 补丁管理策略

  2. XXE防护

    • XML解析配置
    • 输入过滤方案
    • 安全开发规范

6.2 企业安全架构

  1. 分层防御模型

    • 网络边界防护
    • 主机安全加固
    • 应用安全控制

  2. 安全监控体系

    • 日志集中分析
    • 异常行为检测
    • 应急响应流程

七、实战视频资源

  1. 业务安全测试

    • 业务场景建模
    • 风险点识别
    • 测试用例设计

  2. CTF PWN入门

    • 二进制基础
    • 漏洞利用技术
    • 防护绕过技巧

附录:参考资源

  1. 漏洞预警平台:

    • CNNVD
    • CNCERT

  2. 学习工具:

    • VulnStack靶场
    • HackTheBox
    • TryHackMe

  3. 技术社区:

    • FreeBuf知识大陆
    • BugBank安全平台

注:本教学文档基于红日安全第60期内容整理,包含Web安全、移动安全、渗透测试、代码审计等核心知识点,可作为安全从业人员的技术参考手册。实际应用中请遵守相关法律法规,所有技术仅用于授权测试和安全研究。

Web及移动安全知识体系教学文档 一、安全动态与漏洞预警 1.1 近期重要漏洞 WebLogic漏洞系列 : CVE-2018-3245:Java反序列化漏洞 CVE-2018-3191:反序列化漏洞 CVE-2018-3246:XXE漏洞 影响版本:多个WebLogic版本 利用方式:通过T3协议进行反序列化攻击 Tomcat漏洞 : CVE-2016-8735:反序列化漏洞 影响组件:JMX连接器 修复建议:升级到最新版本 Xorg X Server漏洞 : CVE-2018-14665:权限提升漏洞 影响系统:Linux图形界面环境 利用场景:本地用户提权 Struts2变种漏洞 : 最新变种攻击方式分析 防护措施:输入验证和过滤 1.2 安全建设思路 甲方安全建设框架: 安全治理体系 风险评估方法 安全运营流程 VPN安全设计: 安全部署方案 认证机制强化 访问控制策略 二、Web安全核心技术 2.1 会话管理机制 Cookie与Session详解 : Cookie工作机制: 服务端设置与客户端存储 属性分析(Secure/HttpOnly/Domain/Path) Session管理: 服务端会话存储 Session ID生成与保护 Cookie篡改攻击 : 常见篡改手法: 修改用户身份标识 修改权限标识 修改敏感参数 防护措施: 签名验证 HTTPOnly设置 定期更换Session ID 2.2 注入类漏洞 命令注入 : 典型漏洞场景: 系统命令拼接 参数未过滤 利用方式: 管道符注入 命令串联 防御方案: 白名单过滤 参数化调用 SQL注入 : sqlmap高级用法: 自动化检测技术 绕过WAF技巧 数据提取方法 防御体系: 预编译语句 输入验证 最小权限原则 2.3 XXE漏洞 WebLogic XXE案例 : 漏洞触发点分析 XML解析配置问题 外部实体注入利用 XXE防御方案 : 禁用外部实体 使用安全XML解析器 输入过滤机制 2.4 业务逻辑漏洞 越权漏洞 : 水平越权: ID枚举攻击 参数预测 垂直越权: 功能未授权访问 权限校验缺失 测试方法: 修改请求参数 替换身份令牌 交易平台XSS案例 : Tradingview DOM XSS分析 富文本过滤绕过 恶意脚本注入点 三、渗透测试技术体系 3.1 信息收集 被动信息收集 : WHOIS查询 DNS记录分析 搜索引擎技巧 证书信息收集 内网入口发现 : 常见入口点: VPN登录页面 远程管理接口 员工门户 识别方法: 子域名枚举 端口扫描 错误信息分析 3.2 提权技术 NC反弹提权 : 利用场景: 受限命令执行 防火墙绕过 操作步骤: 监听端配置 目标端连接 交互式Shell获取 端口转发技术 : lcx功能实现: 本地端口转发 远程端口转发 多级跳板应用 3.3 渗透实战案例 福利站渗透过程 : 漏洞链构建: SQL注入入口 后台获取 文件上传利用 权限维持方法 网站渗透思路 : 攻击面分析 漏洞优先级评估 横向移动策略 3.4 日志分析 Web日志取证 : 关键日志字段: 访问时间 源IP 请求方法 状态码 攻击特征识别: 扫描行为 注入尝试 异常访问 四、安全工具使用指南 4.1 网络分析工具 Wireshark高级用法 : 过滤器语法: 协议过滤 IP过滤 内容匹配 攻击流量分析: 暴力破解特征 数据泄露检测 Tcpdump实战 : 常用参数: -i 指定接口 -w 保存文件 -r 读取文件 高级捕获技巧: 特定端口捕获 数据包切片 4.2 渗透测试框架 Metasploit核心模块 : 漏洞利用模块: 选择与配置 参数设置 后渗透模块: 信息收集 权限提升 横向移动 ANDRAX移动平台 : Android渗透测试环境 工具集成方案 移动端攻击模拟 五、代码审计技术 5.1 Java项目审计 反序列化漏洞 : 危险类识别: InvokerTransformer TemplatesImpl 调用链分析: 入口点定位 利用链构造 安全编码规范 : 输入验证原则 安全API使用 危险函数替换 六、防御体系建设 6.1 WebLogic防护 反序列化防御 : T3协议过滤 JEP290机制 补丁管理策略 XXE防护 : XML解析配置 输入过滤方案 安全开发规范 6.2 企业安全架构 分层防御模型 : 网络边界防护 主机安全加固 应用安全控制 安全监控体系 : 日志集中分析 异常行为检测 应急响应流程 七、实战视频资源 业务安全测试 : 业务场景建模 风险点识别 测试用例设计 CTF PWN入门 : 二进制基础 漏洞利用技术 防护绕过技巧 附录:参考资源 漏洞预警平台: CNNVD CNCERT 学习工具: VulnStack靶场 HackTheBox TryHackMe 技术社区: FreeBuf知识大陆 BugBank安全平台 注:本教学文档基于红日安全第60期内容整理,包含Web安全、移动安全、渗透测试、代码审计等核心知识点,可作为安全从业人员的技术参考手册。实际应用中请遵守相关法律法规,所有技术仅用于授权测试和安全研究。