Web 安全

Web 安全概述

Web 安全是信息安全的基础领域,涵盖 Web 应用程序、API 接口、前端安全等多个方面。本分类基于 OWASP Top 10 标准,系统讲解常见漏洞的利用与防御。

涵盖内容

🕸️ OWASP Top 10

  • 注入攻击 - SQL 注入、命令注入、LDAP 注入
  • 认证失效 - 弱密码、会话管理、JWT 攻击
  • 敏感数据泄露 - 加密不当、信息暴露
  • XXE - XML 外部实体注入
  • 访问控制失效 - 越权访问、目录遍历
  • 安全配置错误 - 默认配置、调试信息
  • XSS - 跨站脚本攻击
  • 不安全的反序列化 - 远程代码执行
  • 过时组件 - 已知漏洞利用
  • 日志监控不足 - 审计缺失

🎯 高级技术

  • 模板注入 - SSTI、服务端模板攻击
  • HTTP 请求走私 - CL.TE、TE.TE
  • 服务端请求伪造 - SSRF 高级利用
  • CORS 配置错误 - 跨域资源共享攻击
  • OAuth 安全 - 授权流程漏洞

文章列表

- [SQL 注入漏洞详解](/web-security/sql-injection) - [XSS 跨站脚本攻击](/web-security/xss) - [文件上传漏洞](/web-security/file-upload) - [XXE 漏洞详解](/web-security/xxe) - [SSRF 漏洞详解](/web-security/ssrf) - [CSRF 漏洞详解](/web-security/csrf) - [命令注入漏洞](/web-security/command-injection) - [文件包含漏洞](/web-security/file-inclusion) - [SSTI - 服务端模板注入](/web-security/ssti) - [反序列化漏洞详解](/web-security/deserialization) - [JWT 攻击详解](/web-security/jwt-attacks) - [OAuth 配置错误](/web-security/oauth-misconfiguration) - [CSRF 高级利用技巧](/web-security/csrf-advanced) {class="children children-type-tree children-sort-weight"}

学习路线

入门阶段:
1. HTTP 协议基础
2. Web 架构理解
3. 常见漏洞原理

进阶阶段:
4. 漏洞手工利用
5. 自动化工具使用
6. WAF 绕过技术

高级阶段:
7. 代码审计
8. 0day 挖掘
9. 红队实战

工具推荐

工具 用途
Burp Suite 综合渗透平台
OWASP ZAP 开源扫描器
SQLMap SQL 注入自动化
XSStrike XSS 检测工具
Nuclei 漏洞扫描器
ffuf 模糊测试工具

参考资源