网络安全常见十大漏洞总结（原理、危害、防御）_漏洞top10

最新推荐文章于 2025-10-14 10:49:12 发布

原创最新推荐文章于 2025-10-14 10:49:12 发布 · 1.5k 阅读

40 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #安全 #网络

网络安全专栏收录该内容

332 篇文章

订阅专栏

一、弱口令【文末福利】

产生原因

与个人习惯和安全意识相关，为了避免忘记密码，使用一个非常容易记住的密码，或者是直接采用系统的默认密码等。

危害

通过弱口令，攻击者可以进入后台修改资料，进入金融系统盗取钱财，进入OA系统可以获取企业内部资料，进入监控系统可以进行实时监控等等。

防御

设置密码通常遵循以下原则：

（1）不使用空口令或系统缺省的口令，为典型的弱口令；

（2）口令长度不小于8 个字符；

（3）口令不应该为连续的某个字符（例如：AAAAAAAA）或重复某些字符的组合（例如：tzf.tzf.）。

（4）口令应该为以下四类字符的组合：大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个，那么该字符不应为首字符或尾字符。

（5）口令中不应包含特殊内容：如本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail 地址等等与本人有关的信息，以及字典中的单词。

（6）口令不应该为用数字或符号代替某些字母的单词。

（7）口令应该易记且可以快速输入，防止他人从你身后看到你的输入。

（8）至少90 天内更换一次口令，防止未被发现的入侵者继续使用该口令。

二、SQL注入

产生原因

当Web应用向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理，那么攻击者就可以构造特殊的SQL语句，直接输入数据库引擎执行，获取或修改数据库中的数据。

本质

把用户输入的数据当做代码来执行，违背了 “数据与代码分离”的原则。

SQL注入的两个关键点：

1、用户能控制输入的内容；

2、Web应用把用户输入的内容带入到数据库中执行；

危害

盗取网站的敏感信息
绕过网站后台认证
后台登陆语句：SELECT*FROMadminWHEREUsername='user’andPassword=‘pass’
万能密码：‘or‘1’=‘1’#
借助SQL注入漏洞提权获取系统权限
读取文件信

防御

（1）采用sql语句预编译和绑定变量 #{name}

其原因就是：采用了PrepareStatement，就会将SQL语句：“select id,name from user where id=?”预先编译好，也就是SQL引擎会预先进行语法分析，产生语法树，生成执行计划，也就是说，后面你输入的参数，无论你输入的是什么，都不会影响该SQL语句的语法结构了。因为语法分析已经完成了，而语法分析主要是分析SQL命令，比如：select、from、where、and、or、order by等等。

所以即使你后面输入了这些SQL命令，也不会被当成SQL命令来执行了，因为这些SQL命令的执行，必须先通过语法分析，生成执行计划，既然语法分析已经完成，已经预编译过了，那么后面输入的参数，是绝对不可能作为SQL命令来执行的，只会被当成字符串字面值参数。

（2）使用正则表达式过滤传入的参数

（3）过滤字符串，如insert、select、update、and、or等

三、文件上传

原理

在文件上传的功能处，若服务端未对上传的文件进行严格验证和过滤，导致攻击者上传恶意的脚本文件时，就有可能获取执行服务端命令的能力，称为文件上传漏洞。

成因

服务器的错误配置
开源编码器漏洞
本地上传上限制不严格被绕过
服务器端过滤不严格被绕过

危害

上传恶意文件
getshell
控制服务器

绕过方式

防御

白名单判断文件后缀是否合法
文件上传的目录设置为不可执行
判断文件类型
使用随机数改写文件名和文件路径
单独设置文件服务器的域名
使用安全设备防御

四、XSS（跨站脚本攻击）

原理

**XSS（Cross Site Scripting）：**跨站脚本攻击，为了不和层叠样式表（Cascading Style Sheets）的缩写CSS混合，所以改名为XSS

**XSS原理：**攻击者在网页中嵌入客户端脚本（通常是JavaScript的恶意脚本），当用户使用浏览器加载被嵌入恶意代码的网页时，恶意脚本代码就会在用户的浏览器执行，造成跨站脚本的攻击

危害

盗取Cookie
网络钓鱼
植马挖矿
刷流量
劫持后台
篡改页面
内网扫描
制造蠕虫等

防御

对用户的输入进行合理验证
对特殊字符（如 <、>、 ’ 、 ”等）以及

五、CSRF（跨站请求伪造）

原理

CSRF（Cross-Site Request Forgery），中文名称：跨站请求伪造原理：攻击者利用目标用户的身份，执行某些非法的操作跨站点的请求：请求的来源可以是非本站请求是伪造的：请求的发出不是用户的本意。

危害

篡改目标站点上的用户数据
盗取用户隐私数据
作为其他攻击的辅助攻击手法
传播 CSRF 蠕虫

防御

检查HTTP Referer是否是同域
限制Session Cookie的生命周期，减少被攻击的概率
使用验证码
使用一次性token

六、SSRF（服务器端请求伪造）

原理

SSRF(Server-Side Request Forgery）：服务器端请求伪造，该漏洞通常由攻击者构造的请求传递给服务端，服务器端对传回的请求未作特殊处理直接执行而造成的。

危害

扫描内网（主机、端口）
向内部任意主机的任意端口发送精心构造的payload
攻击内网的Web应用
读取任意文件
拒绝服务攻击

防御

统一错误信息，避免用户根据错误信息来判断远程服务器的端口状态
限制请求的端口为http的常用端口，比如：80、443、8080等
禁用不需要的协议，仅允许http和https
根据请求需求，可以将特定域名加入白名单，拒绝白名单之外的请求
后台代码对请求来源进行验证

七、XXE（XML外部实体注入）

原理

XXE漏洞全称为 XML External Entity Injection，即XML外部实体注入。

XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致用户可以控制外部的加载文件，造成XXE漏洞。

危害

任意文件读取
内网端口探测
拒绝服务攻击
钓鱼

防御

1、使用开发语言提供的禁用外部实体的方法

PHP：

libxml_disable_entity_loader(true);

java

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);

Python：

from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2、过滤用户提交的XML数据

过滤关键词：<!DOCTYPE、<!ENTITY SYSTEM、PUBLIC

RCE

RCE（Remot Command/Code Execute），远程命令/代码执行

远程命令执行：用户可以控制系统命令执行函数的参数，也称命令注入

远程代码执行：用户输入的参数可以作为代码执行，也称代码注入

命令执行可以看作是一种特殊的代码执行，代码执行相对会更加灵活

八、远程代码执行漏洞

原理

应用程序中有时会调用一些系统命令函数，比如php中使用system、exec、shell_exec等函数可以执行系统命令，当攻击者可以控制这些函数中的参数时，就可以将恶意命令拼接到正常命令中，从而造成命令执行攻击。

命令执行漏洞，属于高危漏洞之一，也可以算是一种特殊的代码执行

原因

用户可以控制输入的内容
用户输入的内容被当作命令执行

防御方式

尽量不要使用命令执行函数

客户端提交的变量在进入执行命令函数方法之前，一定要做好过滤，对敏感字符进行转义

在使用动态函数之前，确保使用的函数是指定的函数之一

对PHP语言来说，不能完全控制的危险函数最好不要使用

九、反序列化漏洞

原理

原因是程序没有对用户输入的反序列化字符串进行检测，导致反序列化过程可以被恶意控制，进而造成代码执行、getshell等一系列安全问题。

危害

不安全的反序列化，主要造成的危害是远程代码执行
如果无法远程代码执行，也可能导致权限提升、任意文件读取、拒绝服务攻击等

防御方式

应该尽量避免用户输入反序列化的参数
如果确实需要对不受信任的数据源进行反序列化，需要确保数据未被篡改，比如使用数字签名来检查数据的完整性
严格控制反序列化相关函数的参数，坚持用户所输入的信息都是不可靠的原则
对于反序列化后的变量内容进行检查，以确定内容没有被污染
做好代码审计相关工作，提高开发人员的安全意识

最后

接下来我将给各位同学划分一张学习计划表！

e题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

学习资源

如果你是也准备转行学习网络安全（黑客）或者正在学习，这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你

知识库由360智榜样学习中心独家打造出品，旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力，熟练掌握基础攻防到深度对抗。

01 内容涵盖

网络安全意识
Linux操作系统详解
WEB架构基础与HTTP协议
网络数据包分析
PHP基础知识讲解
Python编程基础
Web安全基础
Web渗透测试
常见渗透测试工具详解
渗透测试案例分析
渗透测试实战技巧
代码审计基础
木马免杀与WAF绕过
攻防对战实战
CTF基础知识与常用工具
CTF之MISC实战讲解
区块链安全
无线安全
等级保护

因篇幅有限，仅展示部分资料，完整版的网络安全学习资料已经上传优快云，朋友们如果需要可以在下方优快云官方认证二维码免费领取【保证100%免费】

请添加图片描述

02 知识库价值

深度：本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。
广度：面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。
实战性：知识库内容源于真实攻防对抗和大型演练实践，通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。