服务器端 Web 攻击
学习针对应用程序受信任后端行为而非浏览器的服务器端 Web 攻击。这些漏洞之所以极其危险,是因为它们允许攻击者诱导服务器获取内部资源、解析恶意文档或信任伪造的身份验证令牌。本课程将带你深入了解 SSRF、XXE 和 JWT 篡改的工作原理,以及攻击者如何将这些漏洞串联起来,从而实现更深层次的服务器端入侵。
为什么这很重要
服务器端漏洞往往会破坏团队过度信任的假设。如果应用程序能够代表用户访问内部服务、通过不安全的解析读取本地文件,或者接受伪造的令牌,攻击者通常就能绕过从外部看起来非常安全的隔离层和访问控制。
本课程专注于高影响力的攻击链。你将学习如何强制执行后端请求、滥用 XML 解析、检查并修改 JWT,以及结合各种服务器端弱点来窃取机密并冒充特权用户。
你将学到什么
- 利用 SSRF 访问内部服务和受保护的后端资源。
- 滥用 XXE 读取本地文件并提取敏感的服务器端数据。
- 解码、分析并篡改基于 JWT 的身份验证令牌。
- 理解令牌信任机制和解析器行为如何导致安全漏洞。
- 将多个服务器端弱点串联起来,实现现实场景中的特权访问入侵。
课程路线图
- 服务器端请求伪造 (SSRF):强制目标服务器发起你无法直接发送的请求。
- XML 外部实体 (XXE) 注入:利用不安全的 XML 解析来读取敏感的本地数据。
- JWT 篡改基础:分析令牌结构,并利用薄弱的验证或签名处理机制。
- 服务器端漏洞利用挑战:串联多个弱点以恢复机密信息并绕过管理控制。
课程目标人群
- 从基础 Web 漏洞进阶到更深层次服务器端利用的学习者。
- 需要针对高影响力后端攻击路径进行实操练习的安全测试人员。
- 希望了解 Web 应用程序和 API 中信任边界如何失效的防御者。
学习成果
完成本课程后,你将能够识别并利用常见的服务器端 Web 弱点,解释它们为何危险,并分析它们如何组合成严重的应用程序入侵。
