Web 安全攻防入门：从抓包分析到漏洞挖掘实战

很多初学者在接触 渗透测试入门：从网络抓包到Web安全基础 时，往往会感到无从下手。网络安全是一个庞大的领域，涉及协议、编程、系统架构等多个方面。本文将从最基础的网络抓包入手，结合实际案例，带你逐步了解 Web 安全的基础知识。

网络抓包：了解数据传输的秘密

什么是网络抓包？

网络抓包，也称为网络嗅探，是指截获网络上传输的数据包，并对其进行分析的过程。通过抓包，我们可以了解客户端和服务器之间的数据交互，从而发现潜在的安全问题。常用的抓包工具包括 Wireshark、tcpdump 等。

Wireshark 实战：抓取 HTTP 数据包

以 Wireshark 为例，演示如何抓取 HTTP 数据包：

1. 安装 Wireshark：从 Wireshark 官网下载并安装最新版本。
2. 启动 Wireshark：选择要监听的网络接口（例如：WLAN 或 以太网）。
3. 设置过滤条件：在过滤框中输入 http，只显示 HTTP 协议的数据包。
4. 访问 Web 网站：在浏览器中访问一个网站，例如 http://example.com。
5. 分析数据包：在 Wireshark 中，可以看到浏览器和服务器之间交互的 HTTP 请求和响应。

# Wireshark 过滤 HTTP 请求
http.request.method == "GET"

分析 HTTP 数据包：发现敏感信息

在抓取到的 HTTP 数据包中，我们可以看到请求头、请求体、响应头、响应体等信息。需要重点关注以下内容：

• 请求头：User-Agent, Cookie, Referer 等，可能泄露客户端信息。
• 请求体：GET 请求的 URL 参数，POST 请求的表单数据，可能包含用户名、密码等敏感信息。
• 响应头：Set-Cookie, Content-Type 等，影响客户端行为。
• 响应体：HTML 页面内容，JSON 数据，可能包含漏洞利用的入口。

Web 安全基础：理解常见漏洞

SQL 注入

SQL 注入是指攻击者通过构造恶意的 SQL 查询语句，绕过身份验证，获取、修改或删除数据库中的数据。例如，一个简单的登录页面，如果未对用户输入的用户名和密码进行过滤，就可能存在 SQL 注入漏洞。

# 存在 SQL 注入风险的代码（PHP）
$username = $_POST['username'];
$password = $_POST['password'];

$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";

防范方法：使用预编译语句（Prepared Statements）或参数化查询，避免直接拼接 SQL 语句。对用户输入进行严格的过滤和转义。

XSS 跨站脚本攻击

XSS 攻击是指攻击者通过在 Web 页面中注入恶意的 JavaScript 代码，当用户浏览该页面时，恶意代码会在用户的浏览器中执行，从而窃取用户的 Cookie、会话信息，甚至控制用户的浏览器。

<!-- 存在 XSS 风险的代码 -->
<div>欢迎，<?php echo $_GET['username']; ?></div>

防范方法：对用户输入进行 HTML 编码，过滤 JavaScript 代码。设置 HTTPOnly 属性，禁止 JavaScript 访问 Cookie。实施内容安全策略（CSP）。

CSRF 跨站请求伪造

CSRF 攻击是指攻击者诱使用户在不知情的情况下，向 Web 服务器发送恶意请求，从而执行用户不希望的操作。例如，用户登录了一个银行网站，攻击者可以通过构造一个恶意链接，诱使用户在不知情的情况下转账。

防范方法：使用 Token 验证，每次请求都携带一个随机生成的 Token。验证 Referer，判断请求是否来自合法的页面。使用双重 Cookie 验证。

文件上传漏洞

文件上传漏洞是指攻击者通过上传恶意文件（例如：webshell），从而控制 Web 服务器。常见的文件上传漏洞包括：

• 后缀名绕过：通过修改文件后缀名，绕过服务器的校验。
• MIME 类型绕过：通过修改文件的 MIME 类型，绕过服务器的校验。
• 截断上传：通过截断上传过程，上传不完整的文件。

防范方法：严格校验文件后缀名，使用白名单机制。校验文件的 MIME 类型，但要小心被篡改。限制文件大小。上传的文件存储在独立的目录中，禁止执行。

实战避坑经验总结

• 不要迷信工具：渗透测试工具只是辅助手段，关键在于理解漏洞的原理。例如：在使用 Burp Suite 进行渗透测试时，不要只依赖其自动扫描功能，要手动分析请求和响应，才能发现更深层次的漏洞。
• 关注业务逻辑：很多安全问题都隐藏在业务逻辑中。例如，电商网站的优惠券系统，可能存在恶意刷券的漏洞。金融系统的支付接口，可能存在金额篡改的漏洞。
• 持续学习：Web 安全技术不断发展，需要持续学习新的漏洞和防御方法。关注 OWASP Top 10、CVE 漏洞库等。
• 重视安全编码：在开发 Web 应用时，就要重视安全编码，避免常见的安全漏洞。
• 代码审计：对Web代码进行人工或自动的代码审计，及早发现潜在的安全问题。

总结

本文介绍了渗透测试入门的基本知识，从网络抓包到 Web 安全基础，希望能够帮助初学者快速入门。渗透测试是一个实践性很强的领域，需要不断学习和实践才能掌握。记住，安全不是一蹴而就的，而是一个持续改进的过程。