【网络安全】三、入门篇：Web安全常见漏洞概述

Web 安全全景：解析当代最危险的八大漏洞与防御之道

本文将系统解析 Web 安全领域最频发、危害最大的八大漏洞，结合实际案例阐述其原理与防御策略，帮助开发者和安全人员构建更坚固的 Web 防线。

一、SQL 注入：数据库的 "致命后门"

SQL 注入无疑是 Web 安全领域的 "常青树"，自 Web 诞生以来始终占据漏洞榜单前列。其本质是攻击者将恶意 SQL 代码插入到输入参数中，当应用程序未加过滤地将这些参数传入数据库时，恶意代码会被当作合法 SQL 语句执行。

攻击场景再现：

某电商网站的商品详情页 URL 为http://example.com/product?id=123，后端处理代码为：

\$sql = "SELECT \* FROM products WHERE id = " . $\_GET\['id'];

攻击者将 URL 修改为id=123 OR 1=1，则实际执行的 SQL 变为：

SELECT \* FROM products WHERE id = 123 OR 1=1

这会返回数据库中所有商品信息。更危险的是使用UNION查询：id=123 UNION SELECT username,password FROM admin，可能直接获取管理员账号密码。

防御体系：

1. 采用参数化查询（预编译语句），将 SQL 代码与数据严格分离
2. 实施输入验证，限制输入格式和长度
3. 使用最小权限原则配置数据库账号，避免应用程序账号拥有 DROP、DELETE 等高危权限
4. 定期进行 SQL 注入扫描，使用 OWASP ZAP 等工具自动化检测

二、跨站脚本（XSS）：劫持用户会话的 "隐形之手"

XSS 漏洞允许攻击者将恶意 JavaScript 代码注入到网页中，当其他用户访问该页面时，恶意代码会在其浏览器中执行，从而窃取 Cookie、会话令牌或其他敏感信息。

三大 XSS 类型：

• 存储型 XSS：恶意代码被永久存储在服务器（如评论区、用户资料），所有访问者都会受影响
• 反射型 XSS：恶意代码通过 URL 参数传递，仅当用户点击特定链接时触发
• DOM 型 XSS：恶意代码在客户端通过 JavaScript 操作 DOM 执行，不经过服务器

典型案例：

某论坛允许用户发表评论，攻击者提交包含<script>alert(document.cookie)</script>的评论。若论坛未过滤该内容，所有查看此评论的用户都会弹出自己的 Cookie 信息，攻击者可利用这些信息伪造登录。

防御策略：

1. 对输出进行编码，根据输出位置（HTML、JavaScript、URL 等）使用相应的编码方式
2. 实施内容安全策略（CSP），限制脚本的加载和执行来源
3. 使用 HttpOnly 和 Secure 属性保护 Cookie，防止 JavaScript 访问
4. 采用输入验证，过滤<script>、onclick等危险标签和事件

三、跨站请求伪造（CSRF）："借刀杀人" 的攻击艺术

CSRF 漏洞利用用户已认证的会话，诱导其在不知情的情况下执行非预期操作。攻击者无需获取用户数据，只需欺骗用户执行特定动作。

攻击链路：

1. 用户登录银行网站bank.com，获得认证 Cookie
2. 攻击者诱导用户访问恶意网站evil.com
3. evil.com自动向bank.com发送转账请求，利用用户的认证状态
4. 银行网站验证请求包含有效 Cookie，执行转账操作

防御机制：

1. 实施 CSRF 令牌（Token），在关键操作请求中加入随机生成的令牌，服务器验证令牌有效性
2. 检查 Referer 或 Origin 请求头，验证请求来源合法性
3. 对于敏感操作，要求二次验证（如输入密码、验证码）
4. 使用 SameSite Cookie 属性，限制 Cookie 仅在同站请求中发送

四、文件上传漏洞：服务器的 "特洛伊木马"

文件上传功能若设计不当，会成为攻击者植入恶意脚本的捷径。攻击者通过上传包含 webshell 的文件，可获得服务器控制权，进行文件篡改、数据窃取等操作。

常见绕过手段：

• 修改文件扩展名（如.php改为.php5、.phtml）
• 利用文件类型验证漏洞（修改 Content-Type 为 image/jpeg）
• 文件名包含特殊字符（如shell.php%00.jpg利用空字节截断）

防御要点：

1. 采用白名单验证文件类型，仅允许特定扩展名（如.jpg、.pdf）
2. 对上传文件进行重命名，避免使用用户提供的文件名
3. 将上传文件存储在 Web 根目录之外，通过脚本间接访问
4. 安装 Web 应用防火墙（WAF），检测并拦截恶意文件上传

五、权限控制失效：越权访问的 "万能钥匙"

权限控制漏洞源于应用程序对用户权限的校验不严格，导致攻击者可访问或操作超出其权限范围的资源，分为水平越权和垂直越权两种类型。

典型场景：

• 水平越权：普通用户 A 通过修改 URL 中的user_id参数，访问普通用户 B 的个人信息
• 垂直越权：普通用户通过直接访问管理员 URL（如/admin/dashboard）或修改请求中的角色标识，获得管理员权限

防护措施：

1. 在所有敏感操作前进行权限校验，不依赖前端控制
2. 使用会话中的用户标识而非请求参数中的标识进行数据查询
3. 实施基于角色的访问控制（RBAC），明确不同角色的权限范围
4. 对关键操作记录审计日志，便于事后追溯

六、敏感信息泄露：安全防线的 "蚁穴"

敏感信息泄露虽不直接导致攻击，但会为后续攻击提供关键信息。常见形式包括：错误信息泄露、明文传输敏感数据、日志文件暴露等。

风险案例：

• 登录接口使用 HTTP 而非 HTTPS，导致账号密码在传输过程中被窃听
• 500 错误页面显示完整的堆栈跟踪信息，泄露服务器路径、数据库类型等
• JavaScript 代码中硬编码 API 密钥或数据库账号

保护策略：

1. 所有传输通道启用 HTTPS，配置合适的 TLS 版本和密码套件
2. 对敏感数据进行加密存储（如用户密码使用 bcrypt、Argon2 等算法哈希）
3. 自定义错误页面，避免泄露系统细节
4. 实施数据脱敏，在日志和前端展示中隐藏敏感信息（如手机号显示为 138****5678）

七、命令注入：服务器的 "远程操控"

当应用程序需要调用系统命令（如执行 ping、备份脚本）时，若未严格过滤用户输入，攻击者可注入恶意命令，获得服务器控制权。

攻击示例：

某网络诊断工具允许用户输入 IP 地址执行 ping 命令，后端代码为：

import os
ip = request.args.get('ip')
os.system(f"ping {ip}")

攻击者输入8.8.8.8``; rm -rf /，则实际执行的命令变为：

ping 8.8.8.8; rm -rf /

这会在 ping 完成后执行删除命令，造成严重破坏。

防御方案：

1. 避免直接调用系统命令，优先使用编程语言内置函数
2. 若必须使用系统命令，采用白名单限制允许的输入
3. 使用命令参数数组形式调用，而非字符串拼接
4. 限制执行命令的用户权限，遵循最小权限原则

八、使用已知漏洞的组件："温水煮青蛙" 式风险

据 OWASP 报告，30% 以上的数据泄露事件与使用存在已知漏洞的组件相关。这些组件包括 Web 框架、插件、库等，攻击者可利用公开的漏洞利用代码进行攻击。

高风险案例：

• Log4j2 远程代码执行漏洞（CVE-2021-44228）影响全球大量 Java 应用
• Heartbleed 漏洞（CVE-2014-0160）导致 OpenSSL 实现存在内存泄露
• Struts2 系列命令执行漏洞（如 S2-045）被广泛用于批量攻击

应对措施：

1. 建立组件清单，定期使用工具（如 OWASP Dependency-Check）扫描漏洞
2. 制定组件更新策略，及时修复高危漏洞
3. 移除不使用的组件和插件，减少攻击面
4. 考虑使用容器化技术和沙箱环境隔离组件

构建纵深防御体系

单一的防御措施难以抵御所有攻击，构建多层次防御体系才是根本之道：

1. 开发阶段：引入安全开发生命周期（SDLC），进行安全编码培训
2. 测试阶段：实施静态应用安全测试（SAST）和动态应用安全测试（DAST）
3. 部署阶段：配置 WAF、入侵检测系统（IDS）、定期漏洞扫描
4. 运维阶段：建立安全监控和应急响应机制，及时处理安全事件