k14nx0/portswigger-portfolio
GitHub: k14nx0/portswigger-portfolio
一个基于 PortSwigger 平台实战演练的 Web 渗透测试作品集,系统记录并展示了 OWASP Top 10 相关漏洞的完整攻击链与分析报告。
Stars: 1 | Forks: 0
# 🛡️ Web 应用程序渗透测试展示
一个交互式仓库,包含来自 PortSwigger Web Security Academy [🧠] 的全面、实战化的漏洞研究与报告。此作品集涵盖了实际的实验室利用方法,并直接映射到 OWASP Top 10 框架中的关键条目 [🧠]。
### 🚀 活跃安全研究模块
点击下方任意单独的目录模块文件夹,以探索完整的分步攻击链、漏洞分析和内嵌的技术截图 [🧠]:
* **[🔹 实验室 01:访问控制失效(不安全的参数篡改)](./lab01-broken-access-control)**
利用未经验证的客户端状态跟踪 cookie 手动伪造授权 token,绕过边界身份验证网关,并将用户权限直接提升至隐藏的管理后台 [🧠]。
* **[🔹 实验室 02:身份验证绕过(自动化用户名枚举)](./lab02-username-enumeration-different-responses)**
利用验证错误处理逻辑布局大小的细微变化,通过 Burp Suite Intruder 使用自定义字典自动化数组来提取活跃的数据库配置文件指标 [🧠]。
* **[🔹 实验室 03:服务器端请求伪造(针对本地基础设施的 SSRF)](./lab03-basic-ssrf-local-server)**
迫使受信任的外部 API 参数原生地代表攻击者发起内部网络回环请求路径,有效地绕过了防火墙边界后方的访问控制列表 [🧠]。
### 🧰 主要技术安全栈
* **攻击平台:** Kali Linux 虚拟机(操作系统环境) [🧠]
* **拦截代理:** Burp Suite 社区版(Proxy、Intruder、Repeater) [🧠]
* **防御记录:** Markdown 作品集文档标准框架 [🧠]
标签:CISA项目, OWASP Top 10, StruQ, Web渗透测试, 文档安全, 网络安全, 防御加固, 隐私保护, 靶场实践