1. OWASP 就是网络安全界的 "朝阳群众"

1. 为啥说这是护网人的 "必背考点"？

• 黑客 70% 的攻击都靠这几招：不管是国家级的护网行动，还是日常的渗透测试，超过七成的攻击都是围绕这十大漏洞展开的。你把这些漏洞吃透了，相当于掌握了黑客的 "常用密码本"。
• 守住它们就能挡住大部分攻击：这十大漏洞就像网络安全的 "任督二脉"，打通了就能大幅提升防御能力。举个夸张的例子：只要把这十个漏洞防住，能让 80% 的黑客攻击无功而返。

• 手动改参数：登录后把 URL 里的用户 ID 改成别人的（比如从1改成2），看看能不能看到对方的信息。
• 抓包改角色：用 BurpSuite 抓登录后的请求，把用户角色从普通用户改成admin，看看能不能直接进入管理员后台。

• 每个接口都设 "门卫"：用户访问任何功能前，服务器必须检查权限 —— 普通用户只能看自己的数据，管理员才能删东西，别信前端返回的角色信息（黑客分分钟能改）。
• 权限校验放服务器端：别把权限控制写在前端代码里，黑客能轻松绕过，所有校验都要在服务器端做，比如用户想删数据，先查数据库确认是不是管理员。

• 看网址有没有小绿锁：访问网站时看 URL 是不是https，没加密的http相当于数据在裸奔。
• 查数据库密码存储：如果数据库里的密码是明文，或者只用 MD5 这种弱加密（比如e10adc3949ba59abbe56e057f20f883e这种短哈希），那就是高危漏洞。

• 强制 HTTPS 加密：所有数据传输必须用 HTTPS，证书用 Let's Encrypt 免费申请，别用自签名证书（浏览器会报错）。
• 密码存储要 "加盐"：密码不能直接存哈希，要加随机盐值再加密（比如 BCrypt 算法），敏感数据（身份证号、银行卡号）必须用 AES 这种强加密算法。

• 手动试特殊字符：在搜索框、登录框输入'、"、;、--，如果页面报错或者返回大量数据，大概率存在注入漏洞。
• 用工具扫：SQL 注入用 SQLMap，命令注入用 AWVS，直接跑脚本就能检测。

• 只允许 "白名单" 字符：比如手机号输入框只允许数字，邮箱输入框必须包含@，别用黑名单（永远防不住漏网之鱼）。
• 写代码别拼接 SQL：用框架自带的参数化查询（比如 Java 的 PreparedStatement），别直接把用户输入拼进 SQL 语句里，比如写成select * from user where id=?，用参数传值。

• 看业务逻辑是否合理：注册时没验证码、找回密码只发短信不打电话、支付接口没签名校验，这些都是设计漏洞。
• 测接口并发能力：用 BurpSuite 同时发 100 个登录请求，看系统会不会触发限流（比如返回 "请求频繁，请稍后再试"）。

• 设计时就把安全考虑进去：登录接口必须加验证码，每分钟最多允许 5 次尝试；重要操作（如改密码、转账）必须二次验证（短信 + 邮箱）。
• 画数据流图做威胁建模：开发前先画流程图，标出用户输入、数据传输、权限控制这些可能被攻击的点，提前堵上漏洞。

• 扫端口找漏洞：用 nmap 扫 3306（MySQL）、6379（Redis）、7001（WebLogic）等端口，看是否开放且无需认证。
• 找敏感文件泄露：访问/robots.txt看有没有后台地址，/phpinfo.php看 PHP 配置，/config.php看数据库账号密码。

• 关闭不必要的服务和端口：用netstat -an查开放端口，只留必要的（比如 Web 服务开 80/443，数据库端口只允许内网访问）。
• 删掉默认配置和文件：Tomcat 的manager后台、Spring Boot 的actuator端点、默认的admin/admin账号，这些全删掉或改密码。

• 查技术栈版本：用 WhatWeb 看网站用了什么技术（比如 WordPress 5.8），去 CNVD 查这个版本有没有已知漏洞。
• 用工具扫组件漏洞：Nessus 扫系统补丁，OWASP Dependency-Check 扫第三方库（比如 Maven 依赖的旧版 jar 包）。

• 定期更新组件和补丁：每月跟进 CVE 漏洞库，特别是 Log4j、Struts2、Spring 这些高危组件，发现漏洞 24 小时内必须打补丁。
• 每周跑漏洞扫描工具：用 OpenVAS 扫服务器，及时发现过时组件（比如 Redis 4.0.11 以下版本有未授权访问漏洞，必须升级）。

• 测弱口令：用 BurpSuite 的 Intruder 模块，加载常见密码字典（比如admin、123456、password），暴力破解登录口。
• 查会话安全：登录后修改 Cookie 里的JSESSIONID为别人的会话 ID，看能不能直接登录（会话劫持漏洞）。

• 强制强密码策略：密码必须 8 位以上，包含字母、数字、符号，每 3 个月强制修改，禁止使用历史密码。
• 会话管理要严格：用户 15 分钟不操作就自动注销，会话 ID 用 32 位随机字符串（别用 1、2、3 这种顺序号），存在 HttpOnly 的 Cookie 里防 XSS 窃取。

• 改包测试：用 BurpSuite 拦截请求，把价格、数量等字段改掉，看服务器是否接受（比如把price=100改成price=1）。
• 查文件哈希：下载软件后对比官方 MD5 值，如果对不上，说明文件被篡改（可能有木马）。

• 重要数据加签名校验：传输订单、支付信息时，用 HMAC 算法生成签名，服务器收到后验证签名是否正确，防止数据被篡改。
• 文件上传验哈希：用户上传文件后，计算 SHA-256 哈希值存起来，读取时对比哈希，确保文件没被修改。

• 查日志是否完整：看服务器有没有记录登录失败、异常 IP 访问、敏感操作（如删除文件、修改权限）。
• 测报警机制：故意输错密码 10 次，看会不会收到邮件 / 短信报警（很多系统根本没开报警功能）。

• 记录所有关键操作：登录失败、权限变更、敏感文件访问等必须记录，日志存到独立服务器（防止被攻击者删除）。
• 实时监控 + 自动报警：用 ELK 栈实时分析日志，设置报警规则（如 1 分钟内 50 次登录失败），发现异常立即通知管理员。

• 测 URL 输入接口：在允许输入 URL 的地方（比如图片链接、跳转链接），输入内网 IP（如192.168.1.100），看服务器是否发起请求（用 Wireshark 抓包看）。
• 改包指向内部系统：用 BurpSuite 修改请求中的 URL，指向公司内网地址，看是否能访问。

• 白名单限制 URL：只允许访问白名单内的域名（如xxx.com、api.xxx.com），禁止访问内网 IP 和其他可疑域名。
• 服务器端严格校验：接收 URL 后，先解析域名，检查是否在允许的范围内，别直接用用户输入的 URL 发起请求。

1. 漏洞排查「三板斧」，新手也能快速上手

• 第一板：工具扫描用 Nessus、AWVS 这类自动化工具，选 OWASP Top 10 扫描策略，跑一遍就能识别大部分漏洞（注意扫描速度别太快，防止把服务器搞崩）。
• 第二板：手动验证每个高危漏洞至少手动测一次：比如 SQL 注入用' or 1=1 --，XSS 用<script>alert(1)</script>，越权访问改 URL 里的用户 ID，确保工具没漏报。
• 第三板：查配置文件打开web.xml、application.properties等配置文件，看看有没有默认密码（如user=admin&password=admin）、未授权访问配置（如allow-url-pattern=/*）。

1. 按危害程度排序，优先修复高危漏洞
2. 注入漏洞（A03）：能直接偷数据、拿服务器权限，发现后必须当天修复，否则分分钟被拖库。
3. 破碎的访问控制（A01）：越权访问导致数据泄露，危害仅次于注入，特别是金融、医疗系统，用户数据泄露后果严重。
4. 身份认证失败（A07）：弱口令、会话劫持是黑客最爱的突破口，先把登录口加固好，能挡住一半的攻击。
5. 安全配置错误（A05）：Redis 未授权、Tomcat 弱口令这些漏洞，黑客拿来就用，必须优先排查服务器的端口和敏感文件。

1. 记住黑客的三个「最爱攻击点」

• 所有用户输入的地方：输入框、搜索框、上传接口，这些地方最容易藏注入、XSS、SSRF 漏洞，测漏洞先盯着这些位置。
• 登录口和后台地址：70% 的攻击从登录口突破，弱口令、验证码绕过、会话劫持是必测项，后台地址别用/admin这种默认路径（黑客都知道）。
• 旧版本组件：Log4j、Struts2、WebLogic 这些老组件，只要没打补丁，网上随便搜就能找到攻击脚本，护网时先查这些组件的版本。

1. 护网防守的三条「铁律」

• 不信任任何用户输入：用户输入的内容，不管看起来多正常，都可能是恶意的，必须过滤或转义（比如把<转成&lt;）。
• 最小权限原则：普通用户别给管理员权限，数据库用户用专用账号（别用root），能读数据就别给写权限，减少攻击面。
• 漏洞必须闭环管理：发现漏洞后，记录漏洞详情→通知开发修复→复测是否修复→更新日志，别以为报了漏洞就完事，必须跟进到彻底修复。

• 对黑客来说：这是他们的「常用工具包」，每个漏洞都有成熟的攻击脚本和利用方法。
• 对咱们来说：这是护网的「必守关卡」，把每个漏洞的原理、检测方法、防御措施吃透，就能构建起基础的安全防护体系。

阅读原文：https://mp.weixin.qq.com/s/kAIRIt8T72zEpKO678tsiw