古法编程

如何系统化识别与修复 100 种常见 Web 漏洞

本文提供一套结构化的 Web 漏洞知识库,将 100 种高危漏洞分为 15 个类别,帮助开发者和安全人员快速定位漏洞根因并实施标准化修复。

为什么需要这个技能

在 Web 开发中,安全漏洞往往源于对输入处理不当或配置疏忽。单纯依赖自动化扫描工具无法发现所有问题,尤其是复杂的业务逻辑漏洞。

通过建立一套结构化的漏洞参考矩阵,你可以将零散的漏洞知识转化为可执行的检查清单(Checklist)。这不仅能提升漏洞识别的覆盖率,还能在代码评审(Code Review)阶段就将安全风险扼杀在萌芽状态,确保修复方案符合行业标准而非临时打补丁。

适用场景

  • 安全审计与渗透测试:在对目标系统进行测试时,作为系统化排查的参考索引。
  • 代码安全评审:在 PR 阶段对照漏洞类别,检查是否存在注入、越权或不安全反序列化等风险。
  • 修复方案制定:当发现漏洞后,快速查询其根因并采用标准化的缓解措施(Mitigation)。
  • 安全基线构建:为团队制定 API 安全、Session 管理或 HTTP 响应头的安全配置标准。

核心工作流

本技能将漏洞分析分为多个阶段,建议按以下维度进行系统性评估:

  1. 注入类漏洞评估 (Injection):重点检查 SQL 注入、XSS、命令注入及 SSTI。核心在于验证输入是否经过严格过滤且在进入执行环境前是否进行了参数化处理。
  2. 认证与会话安全 (Auth & Session):分析 Session 固定、暴力破解及凭据填充风险。检查 Session ID 的生成随机性及 HttpOnly/Secure 标志的设置。
  3. 权限控制检查 (Access Control):排查 IDOR(不安全直接对象引用)和权限提升漏洞。确保所有敏感功能在服务器端执行了强制权限校验。
  4. 数据暴露与配置审计 (Exposure & Config):检查敏感信息泄露、默认密码、未加密存储及不安全的 CORS 配置。
  5. API 与通信安全 (API & Communication):评估 API 速率限制、OAuth/JWT 实现正确性以及 TLS 协议版本是否过期。
  6. 客户端与 DoS 分析 (Client-side & DoS):分析 DOM-XSS、点击劫持及资源耗尽型攻击。

下载和安装

下载 top-web-vulnerabilities 中文版 Skill ZIP

解压后将目录放入你的 AI 工具 skills 文件夹,重启工具后即可使用。具体路径参考内附的 USAGE.zh.md

你可能还需要

暂无推荐