YoungLime的博客

大多数现代网页应用都会使用某种 API（无论是单页应用 SPA，还是用来填充传统页面的数据接口）。由于这些 API 通常在后台运行，开发者有时会在认证、授权或数据校验等地方偷工减料。作为测试人员，我们可以绕开前端直接访问这些看似“隐藏”的调用，从而利用这些弱点。本模块将研究三个弱点：版本管理（versioning）、批量赋值（mass assignment），以及……（未写完）。目标：每一关都有各自的目标，但总体思路是利用实现不当的 API 来进行攻击或绕过安全控制。

密码学（Cryptography）是安全学的核心领域，用来保护机密信息不被别人看到。如果实现不当（比如写错、用错、配置差、泄露密钥等），这些“秘密”就可能被泄露，或者可以被攻击者操纵来绕过安全保护。这个练习/关卡模块会研究三种常见的弱点：把编码（encoding）当成加密（encryption）用 —— 编码只是改变表示（比如 Base64、hex），不是为了保密，容易被还原。

当 Web 应用程序接受不受信任的输入时，可能会发生未经验证的重定向和转发，这可能导致 Web 应用程序将请求重定向到包含在不受信任输入中的 URL。通过将不受信任的 URL 输入修改为恶意网站，攻击者可以成功发起网络钓鱼诈骗并窃取用户凭据。如上所述，这种攻击的常见用途是创建一个 URL，该 URL 最初指向真实网站，然后重定向受害者到攻击者控制的网站。该网站可能是目标登录页面的克隆版本以窃取凭据，也可能是请求信用卡信息以支付目标网站上的服务费用，或者只是一个充满广告的垃圾页面。

当开发人员必须在复杂的系统中构建授权矩阵时，他们很容易忽略在每个地方添加正确的检查，尤其是那些无法通过浏览器直接访问的地方，例如 API 调用。作为一名测试人员，您需要查看系统进行的每个调用，然后使用各个级别的用户进行测试，以确保检查正确执行。这通常是一项漫长而枯燥的任务，尤其是在矩阵庞大且包含大量不同用户类型的情况下。但测试至关重要，因为一次检查失误就可能导致攻击者获得机密数据或功能的访问权限。目标这关里提供了一个用户管理列表，但是只有管理员用户 admin 可以访问。

这一节的练习旨在让你学习浏览器里 JavaScript 的用法以及如何操控它。这些攻击本质上可以通过观察网络流量来完成，但作者的点是：你要读懂页面里包含的 JavaScript，分析它，然后操纵它来绕过防护，这比单纯看流量更有教学意义。目标（Objective）：只要把字符串 “success” 提交（submit）上去就算通过关卡。看起来很简单，但页面会有各种保护机制（不同关卡不同保护），你需要分析页面里的 JS，找到校验/提交流程，然后操纵它以绕过这些保护并提交 “success”。

CSP（Content Security Policy，内容安全策略） 是浏览器的一种安全机制，用来防止网页加载或执行不安全的内容，特别是 防止 XSS（跨站脚本攻击）。它让网站开发者告诉浏览器：“我只信任从哪些地方加载资源（如脚本、样式、图片），其它地方的资源都不要执行。这条规则的意思是：“只允许执行来自本站（self）域名的 JavaScript，不允许执行来自其他域的脚本。如果攻击者往网页里注入了，浏览器就会拒绝加载这个脚本，因为 CSP 不允许从 evil.com 加载。

存储型 XSS（又叫持久型 XSS）：恶意脚本被保存到服务器端（例如数据库、留言板、个人简介、文章内容、评论等位置）。任何访问包含被保存恶意内容的页面的用户，浏览器都会收到并执行这些脚本 —— 不需要用户事先点击攻击者发的恶意链接（和反射型 XSS 不同）。目标：将所有访问受影响页面的用户重定向到你指定的网页。

反射型 XSS（Reflected XSS）”是指攻击者把恶意脚本通过链接或表单发给受害者，受害者的浏览器在访问被注入的链接时执行了这些脚本。因为这是反射型 XSS，恶意代码不会存储在远端的 Web 应用中，所以需要一些社会工程手法（例如通过电子邮件/聊天发送的链接）来诱导用户触发。需要欺骗用户自己去点击带有特定参数的XSS代码链接才能触发。

XSS：攻击者把恶意脚本注入到网页中，受害者的浏览器会把它当成来自“受信任站点”的脚本来执行。脚本可以读取cookie、或修改页面、发起请求等。DOM Based XSS：恶意脚本不是服务器在 HTML 内直接返回的，而是存在于 URL。页面的客户端 JavaScript 在渲染时直接从 URL/DOM 读取并插入到页面，从而触发注入——服务器端不“看到”恶意脚本，WAF 也可能检测不到。目标：在别的用户的浏览器里执行你（攻击者）控制的 JavaScript。

弱会话 ID 漏洞 指的是网站使用的会话标识（session ID、cookie）生成方式太简单、可预测或重复，从而让攻击者在不知道用户密码的情况下 猜出或计算出别人的会话 ID，以冒充该用户访问受保护资源。换句话说：如果知道或能推算出别人的 session 值，就能“登录成别人”。网站使用一个名为的 cookie 保存登录会话标识（session ID）。如果这个 session ID 可以被计算或容易猜到，攻击者就能不凭密码直接冒充其他用户。目标：找出。

有些网页在收到恶意 SQL 时会直接把数据库返回的错误信息显示出来（比如语法错误、字段不存在等）。那种情况叫可见错误的 SQL 注入（error-based），攻击者从错误信息中可以直接拿到很多线索并快速提取数据。但是如果开发者屏蔽了这些详细错误，应用只返回一个统一、无用的错误页或同样的响应，那么攻击者看不到直接的提示。这种情况称为“盲注”——看不见数据库直接回显，但仍然能通过观察应用“行为差异”来推测信息。目标：通过盲注（通常是时间盲注）找出数据库软件的版本号。

SQL 注入（SQL injection，简称 SQLi）是指把恶意的 SQL 语句插入到应用从客户端接收的输入中，诱使后端数据库执行这些语句。总之，SQL 注入是一类把 SQL 命令当“数据”注入进“数据输入位”的攻击类型，简称 SQLi。目标数据库里有 5 个用户（id 从 1 到 5）。你的任务是通过 SQL 注入获取这 5 个用户的密码。

CAPTCHA 是一个程序，用来判断当前使用者是人还是程序（bot）。你可能在网站注册表单底部看到过：那些带有扭曲文字的彩色图片。网站用 CAPTCHA 来阻止自动化程序滥用，例如机器人自动注册或发垃圾内容。因为计算机一般无法像人类那样识别被扭曲的文字，CAPTCHA 就能挡住大部分机器人。这些 CAPTCHA 常用于保护敏感操作（比如用户注册、修改用户信息、修改密码、发帖等）。

上传文件漏洞（File Upload Vulnerability）是指 Web 应用允许用户上传文件，但没有对上传的文件进行严格的验证和限制，导致攻击者可以上传恶意文件（通常是脚本或可执行代码），并在服务器上执行。原理可能的危害。

一些网站把用户输入直接当作文件路径或文件内容来处理。如果程序没有对用户输入严格限制或验证，就可能把攻击者提供的恶意文件“包含”进来，从而在服务器上下文中执行，进而造成严重后果（例如远程执行代码、部署 web shell、篡改站点等）。File inclusion（文件包含漏洞）侧重的是把文件作为代码在应用上下文中执行或被解析。LFI 与 RFI 是什么LFI（Local File Inclusion，本地文件包含）：程序把目标机器上的本地文件当作要包含/执行的对象。

CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种让用户在不知情的情况下执行非本意操作的网络攻击。生活化比喻技术原理。

命令注入（Command Injection）是指：程序把不可信输入（例如用户提交的表单、URL 参数、HTTP 头等）未经充分验证或转义就拼进将要交给操作系统执行的命令字符串里，导致攻击者通过构造输入让程序执行额外的系统命令或改变原本命令的行为。常见的命令连接符& 、&& 、| 、 || 、;

user$pass$user$avatar首先帐号和密码是通过GET方式传递给服务器的，其次可以看到存在SQL注入问题，输入没有经过过滤，但是回显仅仅显示$user，成功除了一张图片及其地址，你是看不到查询结果的，说明是盲注。然后用test’ --测一下，即没有报错，说明存在SQL注入问题。