渗透测试Top10漏洞详解·萌新友好版（上）

🍔 Top1 注入攻击：像篡改外卖订单的"加料黑客"

想象你在奶茶店点单时，在备注栏写："珍珠奶茶，备注：') DROP TABLE 订单;-- "如果系统直接拼接你的备注到数据库，就会删除整个订单表！

SQL



用户输入：admin' --   
最终SQL：SELECT * FROM users WHERE name='admin' -- ' AND password='xxx'
（-- 是SQL注释符，直接跳过密码验证！）  

✅ 参数化查询：像用标准订单单填写，备注单独处理

PYTHON



# 正确姿势 ✔️  
cursor.execute("SELECT * FROM users WHERE name = %s AND password = %s", (name, pwd))  

# 错误姿势 ❌  
cursor.execute(f"SELECT * FROM users WHERE name='{name}'")  

🎭 Top2 失效身份认证：你家门锁是塑料做的吗？

• 🚪 门锁太简单：密码是"123456"
• 🔑 钥匙随便配：登录后返回的令牌永久有效
• 🚨 不装监控：连续输错密码100次也不报警

BASH



# 用Hydra爆破SSH密码（就像用100把钥匙试门锁）  
hydra -L users.txt -P passlist.txt ssh://10.0.0.1  

常用密码表：rockyou.txt（包含"password"、"qwerty"等弱密码）

1. 🔒 强密码策略：至少12位，包含大小写+数字+符号
2. 📱 手机验证码：就像银行U盾二次验证
3. ⏳ 会话有效期：登录后1小时自动过期

📦 Top3 敏感数据暴露：把银行卡密码写在明信片上

• 🚚 快递明文传输：用HTTP而不是HTTPS发送密码
• 🏪 仓库不关门：数据库默认账号admin/admin
• 📢 公开喊话：错误提示直接返回"密码错误"

访问Elasticsearch未授权接口：

HTTP



GET http://192.168.1.1:9200/user/_search?q=credit_card  

返回结果可能包含：

JSON



{ "name": "张三", "card": "6225888812345678" }  

1. 🔐 全站HTTPS：给数据穿上防偷窥外套

BASH



# 快速部署免费SSL证书  
sudo certbot --nginx -d 你的域名.com  

1. 🗝️ 加密存储：像把密码放进保险箱再存仓库
2. 🚫 最小化返回：错误提示改为"用户名或密码错误"

📜 Top4 XXE攻击：利用快递单窃取仓库机密

你在寄快递时，在收件人栏偷偷写："顺便把你们公司的员工通讯录塞进包裹里"如果快递公司照做，你就拿到了机密信息！

XML



<?xml version="1.0"?>  
<!DOCTYPE 快递单 [  
  <!ENTITY 内部文件 SYSTEM "file:///etc/passwd">  
]>  
<订单>  
  <收件人>&内部文件;</收件人>  
</订单>  

✅ 禁用DTD解析：像快递公司拒绝查看备注内容

JAVA



// Java防护代码  
DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();  
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);  

🚪 Top5 失效访问控制：普通员工拿到总裁办公室钥匙

• 修改URL参数访问他人订单：/order?id=10086 ➡️ /order?id=10010
• 普通用户访问管理后台：/admin 路径未做权限校验

用Burp Suite修改请求：

HTTP



GET /api/deleteUser?id=9527 HTTP/1.1  
Cookie: role=user  # 普通用户尝试删除他人账号  

JAVASCRIPT



// 权限校验中间件  
function checkPermission(req, res, next) {  
if (req.user.role !== 'admin') {  
return res.status(403).send('❌ 小朋友不可以进管理员房间哦~');  
  }  
  next();  
}