Web安全概述從漏洞分析到防御實(shí)踐目錄01Web安全技術(shù)體系概述02常見(jiàn)Web安全漏洞分析03OWASPTop102025詳解04Web安全防御手段05TCP/IP、HTTP與HTTPS基礎(chǔ)06環(huán)境部署與工具介紹07信息收集技術(shù)08總結(jié)與展望09致謝Web安全技術(shù)體系概述Web安全的重要性Web應(yīng)用在互聯(lián)網(wǎng)中的核心地位安全漏洞導(dǎo)致的風(fēng)險(xiǎn)：信息泄露、系統(tǒng)癱瘓等技術(shù)體系框架漏洞分析：識(shí)別潛在威脅防御手段：從設(shè)計(jì)到運(yùn)行的全流程防護(hù)基礎(chǔ)協(xié)議：TCP/IP、HTTP/HTTPS的安全機(jī)制實(shí)踐工具：滲透測(cè)試與防御工具鏈常見(jiàn)Web安全漏洞分析六大核心漏洞類(lèi)型注入漏洞：SQL注入、命令注入等XSS漏洞：竊取Cookie、會(huì)話劫持CSRF漏洞：偽造用戶(hù)操作SSRF漏洞：繞過(guò)防火墻訪問(wèn)內(nèi)部系統(tǒng)文件上傳漏洞：上傳惡意文件邏輯漏洞業(yè)務(wù)流程設(shè)計(jì)缺陷（如支付、權(quán)限控制）漏洞影響數(shù)據(jù)泄露權(quán)限提升系統(tǒng)被控制OWASPTop102025詳解（上）1.失效的訪問(wèn)控制未經(jīng)授權(quán)訪問(wèn)敏感數(shù)據(jù)，案例：普通用戶(hù)查看其他用戶(hù)數(shù)據(jù)2.安全配置錯(cuò)誤云端環(huán)境配置不當(dāng)，案例：公開(kāi)可讀的云存儲(chǔ)3.軟件供應(yīng)鏈故障第三方組件漏洞（如Log4Shell），案例：通過(guò)開(kāi)源組件控制服務(wù)器4.加密機(jī)制失效未使用HTTPS，案例：明文傳輸導(dǎo)致數(shù)據(jù)竊取OWASPTop102021vs2025排名變化注：軟件供應(yīng)鏈故障為2025年新增類(lèi)別，2021年無(wú)對(duì)應(yīng)排名OWASPTop102025詳解（下）05注入未過(guò)濾用戶(hù)輸入，案例：SQL注入獲取數(shù)據(jù)庫(kù)信息06不安全的設(shè)計(jì)缺乏威脅建模，案例：身份鑒權(quán)機(jī)制缺陷07認(rèn)證和授權(quán)失敗弱密碼、會(huì)話超時(shí)不當(dāng)，案例：關(guān)閉瀏覽器后仍保持登錄08軟件和數(shù)據(jù)完整性故障未驗(yàn)證更新完整性，案例：未簽名固件被攻擊09安全日志記錄和監(jiān)控失敗缺乏有效告警，案例：數(shù)據(jù)竊取后無(wú)法追溯10異常條件處理不當(dāng)故障開(kāi)放設(shè)計(jì)，案例：轉(zhuǎn)賬失敗未回滾導(dǎo)致資金損失Web安全防御手段01安全標(biāo)準(zhǔn)研發(fā)遵循ISO27001、GB/T32914等標(biāo)準(zhǔn)02滲透測(cè)試與代碼審計(jì)發(fā)布前漏洞檢測(cè)，定期安全評(píng)估03Web應(yīng)用防火墻（WAF）過(guò)濾惡意HTTP流量，防護(hù)SQL注入、XSS等04系統(tǒng)加固網(wǎng)絡(luò)、OS、數(shù)據(jù)庫(kù)等組件的安全配置05運(yùn)行時(shí)保障及時(shí)補(bǔ)丁更新，日志監(jiān)控與告警TCP/IP協(xié)議基礎(chǔ)TCP/IP協(xié)議族四層架構(gòu)：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層核心協(xié)議：TCP（可靠傳輸）、IP（路由轉(zhuǎn)發(fā)）TCP頭部核心字段源/目的端口、序列號(hào)、ACK標(biāo)志位、SYN/FIN標(biāo)志位IP頭部核心字段IP版本、TTL（生存時(shí)間）、源/目的IP地址TCP/IP協(xié)議四層架構(gòu)HTTP與HTTPS協(xié)議HTTP特點(diǎn)無(wú)連接、無(wú)狀態(tài)，默認(rèn)端口80請(qǐng)求方法：GET、POST、PUT、DELETE等狀態(tài)碼：200（成功）、404（未找到）、500（服務(wù)器錯(cuò)誤）HTTPS安全機(jī)制數(shù)據(jù)加密（對(duì)稱(chēng)+非對(duì)稱(chēng)加密）完整性校驗(yàn)（摘要算法）身份認(rèn)證（數(shù)字證書(shū)）解決問(wèn)題：數(shù)據(jù)泄露、篡改、釣魚(yú)攻擊環(huán)境部署與工具介紹基礎(chǔ)環(huán)境CentOS系統(tǒng)安裝與配置XAMPP（Apache+MariaDB+PHP）部署核心工具HackBar：Web參數(shù)修改與注入測(cè)試BurpSuite：Web應(yīng)用滲透測(cè)試平臺(tái)sqlmap：自動(dòng)化SQL注入工具靶場(chǎng)環(huán)境部署常用靶場(chǎng)01sqli-labsSQL注入練習(xí)02upload-labs文件上傳漏洞測(cè)試03DVWA多類(lèi)型漏洞靶場(chǎng)（Low/Medium/High/Impossible級(jí)別）04Pikachu綜合漏洞練習(xí)平臺(tái)部署步驟環(huán)境配置數(shù)據(jù)庫(kù)初始化權(quán)限設(shè)置信息收集技術(shù)（上）Web站點(diǎn)信息獲取WHOIS查詢(xún)：域名注冊(cè)信息、DNS服務(wù)器SEO綜合查詢(xún)：備案信息、IP地址子域名掃描工具：DNS作用：發(fā)現(xiàn)防守薄弱的子域名服務(wù)信息收集技術(shù)（下）Nmap掃描主機(jī)發(fā)現(xiàn)、端口掃描、服務(wù)版本檢測(cè)、操作系統(tǒng)識(shí)別后臺(tái)地址掃描工具：御劍后臺(tái)掃描工具目標(biāo)：敏感文件、后臺(tái)登錄地址、上傳目錄指紋識(shí)別CMS識(shí)別（如Discuz!、WordP