20155306白皎《网络对抗》 Exp9 Web安全基础实践

一、基本问题回答

SQL注入攻击原理，如何防御

原理是：

就是通过把SQL命令插入到“Web表单递交”或“输入域名”或“页面请求”的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。设计程序中忽略对可能构成攻击的特殊字符串的检查。后台数据库将其认作正常SQL指令后正常执行，可能实现对后台数据库进行各种操作，甚至造成破坏后台数据库等严重后果。

防御措施有：

1、通过正则表达式，或限制长度，对用户的输入进行校验等。2.不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。3.不把机密信息明文存放，请加密或者hash掉密码和敏感的信息。4.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装，把异常信息存放在独立的表中。

XSS攻击的原理，如何防御

原理是：

在Web页面里插入恶意Script代码，当用户浏览网页时，嵌入其中Web里面的Script代码会被执行，一个看似安全的网页却有可能盗取用户的cookies，或者登录名密码等信息。

防御措施有：

1、在输入方面对用户提交的的内容进行可靠的输入验证；2、可以对输入的地方进行输入字数控制3、脚本执行区，禁止输入。

CSRF攻击原理，如何防御

原理是：

CSRF是跨站请求伪造，是一种对网站的恶意利用，通过伪装来自受信任用户的请求来利用受信任的网站。

防御措施有：

1、在表单里增加Hash值，以认证这确实是用户发送的请求。然后在服务器端进行Hash值验证。2、对于每一个表单使用不同的伪随机数值，可以避免冒充用户提交表单3、定期清理保存的cookie。

二、实验内容

    **WebGoat**是OWASP组织研制出的用于进行web漏洞实验的应用平台，用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上，当前提供的训练课程有30多个，其中包括：跨站点脚本攻击（XSS）、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程，某些课程也给出了视频演示，指导用户利用这些漏洞进行攻击。

kali键入java -jar webgoat-container-7.0.1-war-exec.jar运行WebGoat，在firefox浏览器中输入http://localhost:8080/WebGoat进入登录界面。
点击sign in即可登录。

1.Injection Flaws

- Numeric Injection

允许用户查看天气数据，通过注入一条SQL语句来显示全部天气信息。

1.通过复选框选择不同地点，可以选择查看相应城市的信息。每选择一个城市，就会把该城市对应的station字段填入SELECT * FROM weather_data WHERE station = ？这条语句中，在数据库后台执行，并将从数据库中得到的搜索结果打印在屏幕上。

2.在源代码上加1=1这种永真式即可达到我们的目的，比如在任意一个值比如101旁边加上or 1=1

3.101对应第一个城市，选择第一个城市，点击go

- LAB:SQL Injection

通过SQL注入来实现免正确密码登录

1.Stage 1:String SQL Injection选择管理员用户，在密码栏输入‘ or 1=1 --

2.登录失败，应该是有其他的限制信息。如下图所示，将密码输入长度增至20，再试一遍。

3.成功登录。

4.Stage 3:Numeric SQL Injection。先用刚才的方法选择一名员工登录。用员工账号登陆，进入员工页面后再通过SQL注入来查看老板的账户信息。

5.从源代码中看一下在数据库中查找的方式，发现传递的参数是员工ID，想要调出老板账户信息，就得把老板排在id可以预测的位置，一般来说老板的工资都应该是最高的，所以把其中的value值改为101 or 1=1 order by salary desc --，这样老板的信息就会被排到第一位。

6.点击viewprofile按键，成功看到老板的账户。

- String SQL Injection

 通过SQL注入来获取所有信用卡号码。

1.根据题目中的提示：SELECT * FROM user_data WHERE last_name = 'Your name'，我们知道他是一个查询语句，用于输入的地方就在'Your name'这里。

2.根据题目要求，需要显示所有用户的信息，所以我们在这里构造语句'or 1 = 1'，输入表格中。这样的话，整个查询语句就变成了：SELECT * FROM user_data WHERE last_name = ''or 1 = 1--，因为中间”或“了一个永真式，所以会成功显示出所有结果。

- Database Backdoors

使用该SQL语句实现在myBackDoor表中一旦添加新用户那么就在用户表里将新用户的邮箱改为题目固定的邮箱。

1.输入注入语句：101; update employee set salary=10000，成功把该用户的工资设置为88888

2.根据题意：使用该SQL语句实现在myBackDoor表中一旦添加新用户那么就在用户表里将新用户的邮箱改为题目固定的邮箱。那我们就简单的插入两个SQL语句就可以。

101 or 1=1;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='5306@haha.com'WHERE userid = NEW.userid;

- Blind Numeric SQL Injection

找到pins表中cc_number字段值为1111222233334444的记录中pin字段的数值

1、从服务端页面返回的信息中可以知道，它只告诉你两种信息：帐号有效或无效。先输入语句101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 10000 );查看pin数值是否大于5000

2、在0-5000之间，继续尝试。

3、在0-2500之间，继续尝试。

4、进一步缩小范围，如下图，预估计在2250——2500之间。

5、打开BurpSuite，截获报文进行暴力破解。设置代理“Proxy”的“Options”选项

默认是8080端口被占用时需要添加一个新的端口5306，点击add。

6、设置浏览器的代理。打开浏览器右侧的“更多”选项卡，找到preference——advanced——network——connection——ssettings。

7、设置好之后回到题目，点击GO，然后回到burpsuite，可以看到捕获了很多包。在这里，要记得右键选择send to intruder。

8、在Positions中，选择Sniper模式。点击clear清空所有的光标选中的变量，然后用光标选中需要暴力穷举的变量，在此处是account_number后的值，然后点击右侧的add添加。

9、在Payloads中，选择type类型为number，然后设置变化范围2000-2500，并设置步长为1。

10、在Options中，选择Start attack开始攻击。找到数据包大小从1052变化为1094的位置2364。

11、成功了哦

- log Spoofing

输入的用户名会被写到日志文件中，所以可以使用障眼法来使用户名为“admin”的用户在日志中显示“成功登录”

1.在User Name文本框中输入5306%0d%0aLogin Succeeded for username: admin，其中%0d是回车，%0a是换行符，如图所示，攻击成功。

2.Cross-Site Scripting (XSS)

- Phishing with XSS

在搜索框中输入XSS攻击代码，利用XSS可以在已存在的页面中进一步添加元素的特点。我们先创建一个form，让受害人在我们创建的form中填写用户名和密码，再添加一段JavaScript代码，读取受害人输入的用户名和密码，并且将这些信息发送给http://localhost:8080/WebGoat/catcher?PROPERTY=yes...

1.攻击代码可以在solution中寻求帮助哈哈

2.在搜索框中输入攻击代码后点击搜索

3.在用户点击提交时，显示如下图示的登录界面。登录后，显示用户名和密码。

4.登录后，显示用户名和密码。

- Stored XSS Attacks

存储型XSS攻击，通过输入代码使用户访问时弹出非预期的内容。

1.在message框中输入

2.点击submit提交后，再次点击刚刚创建的帖子，成功弹出窗口，说明攻击成功。

- Reflected XSS Attacks

反射型XSS，非持久化，需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面。

1.在文本框中插入,当点击提交时，会弹出对话框。

3.CSRF攻击

- Cross Site Request Forgery(CSRF)

目标是发一个email给newsgroup，内容包括一个有恶意URL请求的图片。URL要指向“attack”（包含参数“Screen”和“Menu”，还有一个额外参数“transferFunds”）。当收到含有CSRF页面的邮件时，就会执行transferFunds。

在框中输入代码  ,当受害者浏览这个网页时，会在当前界面发送一个transferFunds的请求，浏览器认为得到图片，但实际上是一个资金转移。

1.在文本框中提交一个有URL恶意请求的代码,< img src="http://localhost:8080/WebGoat/attack?Screen=278&menu =900&transferFunds=5306"/>

注：Screen和menu的值通过下方的Parameters进行查询。

- CSRF Prompt By-Pass

网页上的手动发起请求的操作，是通过HTML+JavaScript向服务器请求，在这道题目中，我们需要在文本框中添加两个语句，一个用于请求用户转账，另一个用于触发确认界面，url需要使用下面两个参数：transferfunds=数额 和transferfunds=CONFIRM

1.输入命令

<img src='attack?Screen=266&menu=900&transferFunds=888'>

<img src='attack?Screen=266&menu=900&transferFunds=CIONFIRM'>

2.成功显示如下图

三、实验体会

这次实验主要是利用一些现成的模块，和一些比较实际的情景，给人感觉更加接近于实战。在做攻击的时候，也感受到自己平常可能感受到关于web安全的套路，提高自己的警惕，不要学了网络攻防自己还总是乖乖跳进陷阱。课程就要结束了，这是最后一个实验，虽然平时做实验有的很难要做很久，但自己思考的过程中，可以从中收获很多东西，不同方向的实验会收获不同的知识，感受到攻击别人的快乐哈哈！