Web Security Engineer Skill Sheet

Web安全工程师技能表

适用人群

• 内部和外部漏洞评估员、渗透测试员、安全审核员和安全评估员
• 负责周边安全的专业人员
• 安全工程师和顾问
• 安全评估项目经理
• 系统、网络和Web安全管理员
• 技术和职能经理
• 负责信息安全的信息系统人员

学习路线

基础篇

1. Web安全测试简介

   安全是一门朴素的学问，也是一种平衡的艺术。无论是传统互联网安全，还是云计算安全、大数据安全、物联网安全和移动互联网安全，其内在的原理都是一样的。我们只需抓住安全问题的本质，之后无论遇到任何安全问题（不仅仅局限于Web安全或互联网安全），都会无往而不利，因为我们已经真正地懂得了如何用安全的眼光来看待这个世界!

2. HTTP协议

   掌握HTTP协议是一个合格的渗透测试人员的基本功，在后续的渗透测试过程中都需要针对HTTP协议进行分析，一定要熟练掌握。

3. 信息探测

   在进行安全测试之前，最重要的一步就是信息探测，也就是我们常说的『踩点』。信息探测的目的就是为下一步的渗透测试做准备。可以说，只要是与目标网站相关联的信息，我们都应该尽量去收集。

4. 渗透工具

   熟练掌握AWVS、SQLMap、Burp、Nessus、NMap等相关工具的使用。

原理篇

1. SQL注入

   通过在用户可控参数中注入 SQL 语法，破坏原有 SQL 结构，达到编写程序时意料之外结果的攻击行为。

2. 上传漏洞

   在网站的运营过程中，不可避免地要对网站的某些页面或者内容进行更新，这时便需要使用到网站的文件上传的功能。如果不对被上传的文件进行限制或者限制被绕过，该功能便有可能会被利用于上传可执行文件、脚本到服务器上，进而进一步导致服务器沦陷。

3. XSS跨站脚本攻击

   跨站脚本攻击（Cross Site Scripting），为不和层叠样式表（Cascading Style Sheets，CSS）的缩写混淆，故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码，当用户浏览该页之时，嵌入其中 Web 里面的 HTML 代码会被执行，从而达到恶意攻击用户的特殊目的。

4. 命令执行

   当应用需要调用一些外部程序去处理内容的情况下，就会用到一些执行系统命令的函数。如 PHP 中的 system、exec、shell_exec 等，当用户可以控制命令执行函数中的参数时，将可以注入恶意系统命令到正常命令中，造成命令执行攻击。这里还是主要以 PHP 为主介绍命令执行漏洞，Java 等应用的细节待补充。

5. 文件包含

   如果允许客户端用户输入控制动态包含在服务器端的文件，会导致恶意代码的执行及敏感信息泄露，主要包括本地文件包含和远程文件包含两种形式。

6. CSRF跨站请求伪造

   跨站请求伪造（Cross-Site Request Forgery，CSRF）是一种使已登录用户在不知情的情况下执行某种动作的攻击。因为攻击者看不到伪造请求的响应结果，所以 CSRF 攻击主要用来执行动作，而非窃取用户数据。当受害者是一个普通用户时，CSRF 可以实现在其不知情的情况下转移用户资金、发送邮件等操作；但是如果受害者是一个具有管理员权限的用户时 CSRF 则可能威胁到整个 WEB 系统的安全。

7. SSRF服务器端请求伪造

   SSRF（Server-Side Request Forgery：服务器端请求伪造）是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF 攻击的目标是从外网无法访问的内部系统。

8. 文件上传

   在网站的运营过程中，不可避免地要对网站的某些页面或者内容进行更新，这时便需要使用到网站的文件上传的功能。如果不对被上传的文件进行限制或者限制被绕过，该功能便有可能会被利用于上传可执行文件、脚本到服务器上，进而进一步导致服务器沦陷。

9. 点击劫持

   Clickjacking（点击劫持）是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年首创的。是一种视觉欺骗手段，在WEB端就是iframe嵌套一个透明不可见的页面，让用户在不知情的情况下，点击攻击者想要欺骗用户点击的位置。

10. 条件竞争

    条件竞争漏洞是一种服务器端的漏洞，由于服务器端在处理不同用户的请求时是并发进行的，因此，如果并发处理不当或相关操作逻辑顺序设计的不合理时，将会导致此类问题的发生。

11. XXE

    XXE Injection 即 XML External Entity Injection，也就是 XML 外部实体注入攻击。漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题。
    在 XML 1.0 标准里，XML 文档结构⾥里定义了实体（entity）这个概念。实体可以通过预定义在文档中调用，实体的标识符可访问本地或远程内容.如果在这个过程中引入了「污染」源，在对 XML 文档处理后则可能导致信息泄漏等安全问题。

12. XSCH

    由于网站开发者在使用 Flash、Silverlight 等进行开发的过程中的疏忽，没有对跨域策略文件（crossdomain.xml）进行正确的配置导致问题产生。

13. 越权

    越权漏洞是 WEB 应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。所以测试越权就是和开发人员拼细心的过程。

14. 敏感信息泄露

    敏感信息指不为公众所知悉，具有实际和潜在利用价值，丢失、不当使用或未经授权访问对社会、企业或个人造成危害的信息。包括：个人隐私信息、业务经营信息、财务信息、人事信息、IT 运维信息等。 泄露途径包括 Github、百度文库、Google code、网站目录等。

15. 错误的安全配置

    Security Misconfiguration：有时候，使用默认的安全配置可能会导致应用程序容易遭受多种攻击。在已经部署的应用、WEB 服务器、数据库服务器、操作系统、代码库以及所有和应用程序相关的组件中，都应该使用现有的最佳安全配置，这一点至关重要。

实战篇

1. 攻击流程与防御

综合篇

1. 暴力破解

2. 旁注攻击

3. 提权

4. 社会工程学

需要的工具

1. Kali Linux

联系方式

电子邮箱：295367589@qq.com