攻击模拟实验室
以下模拟均在安全可控的沙箱环境中运行,仅供学习网络安全原理。
未经授权的渗透测试是违法行为,请遵守法律和道德规范。
XSS 跨站脚本攻击
体验存储型XSS的攻击链,学习如何通过注入恶意JavaScript代码窃取用户Cookie和会话。
→
SQL 注入攻击
模拟SQL注入绕过登录验证,演示 UNION 注入、注释符绕过等核心技术,亲眼看到注入后的SQL语句。
→
暴力破解演示
纯前端JS模拟暴力破解过程,直观感受密码强度与破解时间的关系,理解为什么短密码如此脆弱。
→
钓鱼网站检测
5个真实钓鱼案例,训练识别钓鱼网站的能力。学习从URL、域名、SSL证书等多维度判断网站真伪。
→
CSRF 攻击演示
模拟银行转账场景,展示攻击者如何利用受害者的身份发起恶意请求,以及 Token 防御机制的工作原理。
→
命令注入攻击
体验通过 ; | & 等符号注入系统命令,获取 /etc/passwd 文件内容,演示为何永远不要信任用户输入。
→
文件上传漏洞
演示上传 PHP Webshell 获取服务器控制权,理解文件类型验证、重命名、隔离存储的重要性。
→
SSRF 服务端请求伪造
利用服务器发起内网请求,探测 Redis、MySQL 等服务,获取 AWS 元数据,绕过防火墙限制。
→
XXE 外部实体注入
通过 XML 外部实体读取服务器文件、发起 SSRF 攻击,危害严重但常被忽视。
→
IDOR 越权访问
通过修改 ID 参数访问其他用户数据,是 API 安全中最常见的漏洞之一。
→