Security Lab - 网络安全攻击实验平台

📚 实验列表

🔴

XSS 跨站脚本攻击

反射型 XSS → 存储型 XSS → Token 窃取

反射型存储型凭证窃取

🟠

SQL 注入攻击

登录绕过 → UNION 注入 → 数据窃取

登录绕过 UNION注入搜索注入

🟡

CSRF 跨站请求伪造

模拟银行 → 钓鱼攻击 → Token 防护

银行系统攻击演示防护机制

🔵

DDoS 拒绝服务攻击

HTTP Flood → 服务器过载 → 限流防护

攻击模拟限流防护

🟣

JWT 安全漏洞

算法混淆 → 弱密钥爆破 → 敏感信息泄露

alg:none 弱密钥信息泄露

🎣

钓鱼攻击

仿冒网站 → 凭证窃取 → 识别技巧

仿冒页面攻击者后台识别防御

🔐

IDOR 对象级越权

用户越权 → 数据横向泄露 → 业务资产失控

查看他人订单修改他人资料删除他人文件

👑

RBAC 权限模型缺陷

角色混乱 → 权限继承错误 → 管理接口暴露

前端绕过角色伪造权限继承

🖱️

Clickjacking 点击劫持

iframe 嵌套 → UI 欺骗 → 用户误操作

iframe 覆盖 X-Frame-Options CSP frame-ancestors

🔓

敏感信息泄露

Debug 接口 → 错误堆栈 → 配置暴露

Debug 接口错误堆栈配置文件

🔄

Token 重放攻击

登录态复制 → 任意设备使用 → 身份冒充

Token 重放设备绑定 Nonce 防护

📁

文件上传漏洞

文件处理错误 → 恶意代码执行 → 服务器被控

后缀绕过 MIME 欺骗安全方案

🕵️

中间人攻击 (MITM)

流量嗅探 → 数据篡改 → 会话劫持

流量嗅探数据篡改 HTTPS 防护

🔑

撞库攻击

泄露凭证 → 批量尝试 → 账户接管

批量撞库限流防护验证码

🛠️ 技术栈

后端

Express + Node.js

前端

原生 HTML/CSS/JS

数据库

SQLite (sql.js)