当前位置：首页 > news >正文

渗透测试之Web安全系列教程（二）

news 文章来源：https://blog.csdn.net/fearhacker/article/details/139389063 2025/5/15 19:00:36

今天，我们来讲一下Web安全！

本文章仅提供学习，切勿将其用于不法手段！

目前，在渗透测试领域，主要分为了两个发展方向，分别为Web攻防领域和PWN（二进制安全）攻防领域。Web 攻防领域，涉及到一些知识点，本系列教程，就来科普一下这些知识点。

接上一篇文章《渗透测试之Web安全系列教程（一）》，我们来继续渗透讨论一下Web安全！

在上一篇文章中，我们提到过同源策略、XSS注入漏洞、网页挂马等相关安全内容！

我们重点强调了学习渗透测试知识的目的！

我们了解攻击技术原理，是为了使渗透测试行为变得更加有效！是为了能够更好的进行信息安全防御，绝不是为了去进行违法犯罪行为！

现在，我们来继续讲一下来自网页内容威胁的两个方向（网页挂马、网页钓鱼）！

网页挂马，是指在正规合法网站的网页内容中嵌入恶意脚本内容，去实施木马攻击行为！

网页钓鱼，是指仿冒伪装成正规合法网站的网页内容，去实施网页诈骗行为！

无论是网页挂马，还是网页钓鱼，危害都是非常巨大的！

如何避免在浏览器中进行网络冲浪时，遭受网页挂马和网页钓鱼攻击呢？

很多浏览器，都带有恶意网址拦截功能！这类功能的技术实现，通常是基于黑名单机制的！

通过浏览器的恶意网址拦截功能，我们可以避免很多针对恶意网址的网络访问行为。

但是，由于浏览器的恶意网址拦截功能，是基于黑名单机制的！也就意味着，未被记录进黑名单中的恶意网址，可能无法被浏览器成功拦截！

Google 公司，对外开放了 SafeBrowsing API，用以及时公布最新的恶意网址名单信息。

除了浏览器自带的恶意网址拦截黑名单机制，还有一项保障浏览器用户的网络访问行为安全的相关技术，那就是 EV SSL 证书技术！对于危险网址，EV SSL 证书技术将会显示为红色，对于安全网址，EV SSL 证书技术将会显示为绿色。

接下来，让我们观察一篇恶意代码中的部分内容，分析一下，它是如何躲避浏览器的恶意代码检测的！

this.globalThis || (this.globalThis = this);

function decodeStr(e) {
var d, c, b;
if (!e) {
return ""
}
for (d = e[0],
c = e.split(d),
b = 0; b < c.length; b++) {
c[b] && (c[b] = String.fromCharCode(c[b]))
}
return c.join("")
}

window.android_url = decodeStr( '|104|116|116|112|115|58|47|47|*|119|101|*|117|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*' );

window.ios_url = decodeStr( '|104|116|116|112|115|58|47|47|*|112|112|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*' );

通过观察上面的恶意代码，我们可以获知，当前恶意代码使用了数据加密技术！

上面的恶意代码，采用了代码混淆机制！

注意，为了避免大家去误操作性地去访问恶意网址，相关代码内容已进行了数据脱敏处理！

上面的恶意代码，通过使用自定义的 decodeStr 函数来实现加密数据的还原操作！

想要了解上面的恶意代码做了些什么，我们就必须了解上面的代码内容含义是什么！

通过观察，我们获知，加密数据，是以数字形式存储的，那么，我们不禁想到了 ASCII 编码！

ascii 码 104 对应的字符是 h 。

ascii 码 116 对应的字符是 t 。

ascii 码 112 对应的字符是 p 。

ascii 码 115 对应的字符是 s 。

ascii 码 47 对应的字符是 / 。

通过上述的观察，我们可知，代码混淆使用的是 ASCII编码序列技术！

现在，让我们来科普一下 globalThis 的作用和价值是什么！

全局属性 globalThis 包含全局对象 this 的值，你可以理解为，类似于全局对象（global object）！

说到全局对象，让我们来复习一下 C语言编程中的全局变量概念！

是的，没错！全局变量的作用域，是全局的！

全局对象的作用域，也是全局的！

globalThis ，提供了一种抽象化的、以标准化方式去获取不同环境中的全局 this 对象（也就是全局对象自身）的途径。区别于 window 或者 self 这些浏览器对象属性，globalThis 可以在有窗口，或者无窗口的各类型环境中正常使用。你可以较为放心地使用 globalThis，globalThis 实现了运行环境无关化。您仅须记住：全局作用域环境中的 this 对象，即是 globalThis ！

我们再来观察看看下面的恶意代码内容：

(function() {
var hm = document.createElement("script");
hm.src = "跨域JS脚本的URL地址";
var s = document.getElementsByTagName("script")[0];
s.parentNode.insertBefore(hm, s);
})();

上面的代码内容，作用是什么？

是动态创建并添加一个 script 标签，并去解析标签中的内容！

恶意脚本，就是如此规避检测的！恶意脚本，就是如此悄悄的潜入你的浏览器，并去执行恶意代码的！

想要防御来自互联网世界的恶意攻击，我们就必须做到：了解对方是如何地去实施攻击的！

在进行代码审计工作时，在进行渗透测试行为时，当我们发现某个网页文件的内容中包含有类似上述代码内容，那么通常意味着，这个网页文件的内容，是可疑的！这个网页文件的内容安全性，是需要进行深入鉴定的！

渗透测试之Web安全系列教程（二）

相关文章：

渗透测试之Web安全系列教程（二）

【算法】在？复习一下快速排序？

matlab安装及破解

Tree——输出项目的文件结构（Linux）

UE5 读取本地图片并转换为base64字符串

【NOIP普及组】税收与补贴问题

Docker 部署 mysql 服务

01- Redis 中的 String 数据类型和应用场景

Android音频焦点

Docker安全配置

文件上传之使用一个属性接收多个文件

chat4-Server端保存聊天消息到mysql

vivo鄢楠：基于OceanBase 的降本增效实践

arm cortex-m架构 SVC指令详解以及其在freertos的应用

k8s笔记——kubernetes中的三种IP

Golang | Leetcode Golang题解之第127题单词接龙

微服务中feign远程调用相关的各种超时问题

springboot整合chatgpt,并且让其可以记录上下文

CTP前端：解码数字世界的魔法师

rabbitmq的交换机类型以及他们的区别

理解不同层的表示（layer representations）

原生js访问http获取数据的方法

Windows 2000 Server：安全配置终极指南

基于 FastAI 文本迁移学习的情感分类（93%+Accuracy）

集成Google Authenticator实现多因素认证(MFA)

网关（Gateway）- 自定义过滤器工厂

HTML静态网页成品作业(HTML+CSS)—— 香奈儿香水介绍网页(1个页面)

C++11 lambda表达式和包装器

3. MySQL 数据表的基本操作

Linux命令篇（一）：文件管理部分