渗透测试全流程解析与常见 Web 漏洞防护

3. 任意文件上传

• 描述：允许上传文件但未严格校验类型和内容。
• 测试方法：修改 Content-Type，上传 .php, .jsp 等可执行后缀文件。
• 修复建议：服务端校验文件头（Magic Number），重命名文件（MD5），禁止上传目录执行权限，随机化存储路径。

4. 命令注入漏洞

• 描述：未过滤用户输入的特殊字符，导致在服务器端执行系统命令。
• 测试方法：在参数中拼接 ; ls, | cat /etc/passwd 等。
• 修复建议：拒绝拼接语句，使用白名单校验输入，避免调用 Shell 命令。

5. SQL 注入漏洞

• 描述：未对用户输入进行过滤，导致恶意 SQL 语句被执行。
• 测试方法：
  • 字符型：' OR '1'='1
  • 数字型：1 AND 1=1
  • 盲注：通过页面响应时间或内容差异判断。
• 修复建议：使用预处理语句（Prepared Statements）。

  // Java JDBC 示例
  PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM users WHERE id = ?");
  pstmt.setInt(1, userId);
  ResultSet rs = pstmt.executeQuery();
  

  // PHP PDO 示例
  $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
  $stmt->execute(['email' => $userEmail]);
  

6. 跨站脚本 (XSS)

• 描述：未经转义的用户输入被浏览器执行。
• 类型：
  • 存储型：数据存入数据库后显示（如评论框）。
  • 反射型：URL 参数直接回显（如搜索框）。
  • DOM 型：前端 JS 操作 DOM 对象时未过滤。
• 修复建议：输出前进行 HTML 实体编码（< -> <），设置 Content-Security-Policy 头。

7. 跨站请求伪造 (CSRF)

• 描述：诱导用户在已登录状态下执行非预期操作。
• 修复建议：
  • 使用一次性 Token（Hidden 标签提交并验证）。
  • 关键操作添加验证码。
  • 校验 Referer 头。
  • 修改密码等操作要求输入原密码。

8. 内部后台地址暴露

• 描述：管理员页面、API 接口对外网可见。
• 修复建议：禁止外网访问后台，使用非常规路径（如 MD5 加密路径），增加访问控制。

9. 信息泄露漏洞

• 描述：备份文件、测试页面、源码、错误堆栈、接口信息泄露。
• 修复建议：删除临时/备份文件，关闭调试模式，统一错误提示页面，严格控制接口权限。

10. 失效的身份认证

• 描述：会话令牌可预测、未过期或可被劫持。
• 修复建议：使用强加密算法生成 Session ID，登出后立即失效，设置合理的超时时间。

11. 失效的访问控制

• 描述：越权访问其他用户数据（水平越权）或管理员功能（垂直越权）。
• 修复建议：后端必须校验当前用户权限，不可仅依赖前端隐藏按钮。

12. 安全配置错误

• 描述：默认密码未改、多余端口开放、错误信息泄露堆栈。
• 修复建议：最小化安装原则，移除不必要的组件，统一错误处理。

13. 使用含有已知漏洞的组件

• 描述：使用了过时或不再维护的库/框架。
• 修复建议：定期更新依赖，监控 CVE 公告，使用虚拟补丁保护。

四、总结与合规声明

渗透测试是一项系统性工作，需要结合自动化工具与人工分析。在发现漏洞后，应编写详细报告，包含漏洞位置、复现步骤、风险等级及修复建议。

重要提醒：

1. 始终遵守法律法规，仅在授权范围内使用测试技术。
2. 测试过程中产生的数据应妥善保存，不得泄露给第三方。
3. 遵循'最小影响'原则，避免对业务造成实质性损害。

通过规范化的流程和安全加固措施，可有效提升系统整体安全性。