在互联网中,Web网站服务数量很庞大,违法违规网站不占少数。且这类网站有一个“快进快出”的特性,找别人购买或者寻找网上开源的源码进行搭建。比如网赌类型的网站,网上开源的网站源码很有可能存在大量安全漏洞,是渗透测试前期攻击的不二之选。
OWASP TOP 10
OWASP是我们在学习渗透过程中必须要深入了解和学习的。OWASP你可以理解为是一个为了改进Web应用安全而成立的一个非盈利组织。旗下最有名的项目就是:OWASP TOP 10,它总结了10种最严重的Web应用程序安全风险。这些最常见、最危险的漏洞可能就是压倒Web Master的最后一根稻草。
我的网站是WordPress搭建的,WP团队每年都会更新该程序,所以不像一些已经停止维护的开源项目这么容易遭受到hacker的攻击。本站也没什么资产,攻击也得到不了什么 ~_~。
给大家看一下OWASP组织在2021年公开的漏洞:
英文的看不懂没有关系,下方我列举了一个网站中会存在哪些漏洞:
| SQL注入 | XSS | 文件上传 | 反序列化 |
| 文件包含 | CSRF | 命令执行 | 信息泄露 |
| XXE | SSRF | 未授权访问 | … |
如果刚接触这一块的话,例如SQL注入、文件包含、SSRF等等,你看起来好像都是新的名词,完全不知道是怎么回事,先不要急一步一个脚印慢慢来学习。
从我上面列举的11条网站漏洞的条数,可以初步了解,网站可能存在的漏洞是非常多的。这里我先挑选出比较容易理解的3个漏洞。分别是:SQL注入、命令执行、文件上传。
注:下述内容是带给初学者的入门理解,每一块的实操我都会重新再发表一篇文章进行详细讲解。
SQL注入:
SQL注入是针对于数据库的漏洞,数据库里保存了什么大家可以思考一下。在你到任意网站注册用户填写的用户名、密码、邮箱等,或是你在百度搜索一个关键词,检索出来的内容,他都是储存在数据库中的。那SQL注入呢,他就是能够破坏数据库,大家可能在新闻中可能会听到“删库跑路”这个单词。删库就是把数据库给删除掉了。
命令执行:
另一个常见的漏洞叫命令执行,简单来说呢就是我们获取到目标(受害者)用户(PC/服务器)的一个执行命令的权限。
例如我拿到了你Windows电脑的权限,那么我可以利用“ shutdown -s -t 0 ”立马让你的电脑关机。如果是服务器权限的话,我可以将搭建的整个网站删除,危害还是挺大的。
文件上传
最后一个“文件上传”更好理解,就像大家在使用网站的时候,经常会遇到一些上传的操作。比如上传一个头像、上传一个附件等等。那么这个时候有没有想过,我不上传头像,上传一个木马病毒,可不可以呢?如果网站开发者没有进行安全考虑的话,就有可能造成这种漏洞的出现。
