---
title: "Web 安全"
weight: 10
description: "Web 应用渗透测试技术，包括 OWASP Top 10、常见漏洞利用与防御"
date: "2026-03-09T09:59:37+08:00"
lastmod: "2026-03-09T18:01:19+08:00"
---

## Web 安全概述

Web 安全是信息安全的基础领域，涵盖 Web 应用程序、API 接口、前端安全等多个方面。本分类基于 OWASP Top 10 标准，系统讲解常见漏洞的利用与防御。

## 涵盖内容

### 🕸️ OWASP Top 10
- **注入攻击** - SQL 注入、命令注入、LDAP 注入
- **认证失效** - 弱密码、会话管理、JWT 攻击
- **敏感数据泄露** - 加密不当、信息暴露
- **XXE** - XML 外部实体注入
- **访问控制失效** - 越权访问、目录遍历
- **安全配置错误** - 默认配置、调试信息
- **XSS** - 跨站脚本攻击
- **不安全的反序列化** - 远程代码执行
- **过时组件** - 已知漏洞利用
- **日志监控不足** - 审计缺失

### 🎯 高级技术
- **模板注入** - SSTI、服务端模板攻击
- **HTTP 请求走私** - CL.TE、TE.TE
- **服务端请求伪造** - SSRF 高级利用
- **CORS 配置错误** - 跨域资源共享攻击
- **OAuth 安全** - 授权流程漏洞

## 文章列表

{{% children sort="weight" %}}

## 学习路线

```
入门阶段:
1. HTTP 协议基础
2. Web 架构理解
3. 常见漏洞原理

进阶阶段:
4. 漏洞手工利用
5. 自动化工具使用
6. WAF 绕过技术

高级阶段:
7. 代码审计
8. 0day 挖掘
9. 红队实战
```

## 工具推荐

| 工具 | 用途 |
|------|------|
| Burp Suite | 综合渗透平台 |
| OWASP ZAP | 开源扫描器 |
| SQLMap | SQL 注入自动化 |
| XSStrike | XSS 检测工具 |
| Nuclei | 漏洞扫描器 |
| ffuf | 模糊测试工具 |

## 参考资源

- [OWASP Top 10](https://owasp.org/www-project-top-ten/)
- [PortSwigger Web Security Academy](https://portswigger.net/web-security)
- [PayloadsAllTheThings](https://github.com/swisskyrepo/PayloadsAllTheThings)
- [HackTricks - Web Pentesting](https://book.hacktricks.wiki/pentesting-web)