20155317王新玮《网络对抗技术》实验9 web安全基础实践

一、实验准备

1.0 实验目标和内容

  1. Web前端HTML。能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。
  2. Web前端javascipt。理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。
  3. Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表
  4. Web后端:编写PHP网页,连接数据库,进行用户认证
  5. 最简单的SQL注入,XSS攻击测试

2.0 实验问题的回答

(1)SQL注入攻击原理,如何防御

攻击原理:构造符合填入语句的攻击代码,将其输入录入框,以达到自己期望的请求,比如跳过验证,直接登录。

成因总的来说是代码编写不够严密:

  • 数据库组织类型不够完善
  • 不当的类型处理
  • 转义字符的应用漏洞
  • 最重要的是错误处理不严谨

防御方法:利用输入规则限制进行防御,不允许特殊字符输入

(2)XSS攻击的原理,如何防御

攻击原理:跨站脚本攻击,XSS攻击类似于SQL注入攻击,将攻击代码注入到网页上或者数据库存储里面,在访问网页或者执行网页上功能是就会触发,实现攻击。

防御方法:

对于用户输入的攻击,只允许输入合法的值,其它值一概过滤掉。
加强对于
另外:在不需要html输入的地方对html 标签及一些特殊字符( ” < > & 等等 )做过滤,将其转化为不被浏览器解释执行的字符。

(3)CSRF攻击原理,如何防御

XSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

  1. 用户浏览并登录信任网站A
  2. 验证通过,在用户处产生A的Cookie
  3. 用户在没有登出A网站的前提下,访问危险网站B
  4. B要求访问第三方站点A,发出请求,
  5. 根据B的请求,浏览器带着Cookie访问A
  6. A不知请求从哪里发出的,所以A会根据自己权限处理5,这样B就收到了模拟用户操作的目的

防御措施:

通过验证码来检测用户提交,每次访问都需要一个新的验证码
也可以通过强制使用户无法同时访问其他网页的方式来达到目的(代价有点大,不实际)

二、Injuection Flaw

1、webgoat开启

输入:java -jar webgoat-container-7.0.1-war-exec.jar

开启,直到出现:

打开浏览器,进入localhost:8080/WebGoat

完成开启

2、SQL字符串注入 String SQL Injection

进入训练区,首先进行SQL字符串注入的练习:

查看这个目标,全英文的,让我们通过构造输入,达到可以查看所有信用卡号的目的。

注意到,题目让我们试试smith:

史密斯的帐号就出来了,这不是重点,重点是要通过构造输入来达到越过"where"的效果:

语句为:SELECT * FROM user_data WHERE last_name = 'Smith'

参考上一次的实验,使用永真式,得到:

SELECT * FROM user_data WHERE last_name = ''or 1='1

将一条语句改成两条,所以我们需要填入:'or 1='1

3、日志欺骗 Log Spoofing

日志欺骗,利用日志的格式,使用换行等字符,欺骗管理员:

题意让我们用管理员的身份进去:

用CR (%0d) 或者 LF (%0a)的方式使用换行符,达到成功的效果。

输入wxw5317%0aLogin Succeeded for username: %0aadmin

事实证明,%0d与%0a都可以起到成功换行效果。只不过我后面那个%0a有点多余了,但照样成功了。

4、数字型SQL注入 Numeric SQL Injection

这个表单允许使用者看到天气数据,利用SQL注入使得可以看见所有数据。

但是难点在于,并没有输入,这下怎么办呢

burpsuite,首先读取执行的SQL值,再对属性值进行修改,达到目的。

打开,啊大苏打实打实大苏打是

进入“Proxy”的“Options”

点击add,默认是8080端口被占用时需要添加一个新的端口5317//只要是空闲的就可以

接下来对浏览器进行设置,依次进入:

preference-advanced-settings

将设置中,监听的端口改为5317

到这里,就建立好了捕获包的工具,所有数据都会通过这里。

回到webgoat,点击GO,再返回查看:

看到出现了一些数据,将其发送到repeater:

根据执行SQL

SELECT * FROM weather_data WHERE station = 101

注入SQL

SELECT * FROM weather_data WHERE station = 101 or 1=1

就修改这个station的位置为 101 or 1=1

就成功了

5、命令注入 Command Injection

同上面一样,也没有输入框,所以还是用找出其命令再注入的办法,用上次用到的burpsuit:

同刚才一样抓包:

在提交的位置修改值为AccessControlMatrix.help"&&ifconfig"命令,第一个引号用来封闭前一个命令,最后一个用来闭合结尾的引号。

点击 go 之后实验成功:

6、数据后门 Database Backdoors

要求实现多条SQL语句注入,对于这样有输入框的,破解的方法就比较简单了

7、LAB SQL injection

分析:由于输入项只有一个,也就是密码,但是密码应该是密文传输,所以我们直接用burpsuit。

抓包,得到:

将GUEST该为永真式,点击go,实验成功:

所以到目前为止,注入部分就全部完成了:

我们也可以采用inspector直接修改网页源码的方式,将输入框的长度编长一点,之后输入永真式即可

三、XSS练习xxxxxxxxxxxx

2、储存型XSS(Stored XSS Attakcs)

这是一个擦除输入的练习。

思路是 发送一个信息,当用户收到这个信息时,就会触发在其中的恶意代码(用脚本语言写的),从而达到清除cookie的效果。

构造语句<script>alert(document.cookie);</script>

输入后点击20155317:

弹窗说明可清除cookies

完成该攻击

四、XSCF练习

1、Cross Site Request Forgery (CSRF)

你的目标是发一个email给newsgroup,内容包括一个有恶意URL请求的图片。URL要指向“attack”(包含参数“Screen”和“Menu”,还有一个额外参数“transferFunds”)。当收到含有CSRF页面的邮件时,就会执行transferFunds

根据题目要求我们伪装语句:

<img src='!attack?Screen=!&menu=!&transferFunds=!' width='1' height='1'>

这个语句的关键就在于四个感叹号。

第一个:网站攻击源,可以是最后现金转过去的目的地址。这里不填,默认本地

第二个:在网站中有,页面右侧的scr和menu的值,直接填入。

第三个:同上

第四个:是需要转账的金额,选择5317元

攻击:

成功 

2、CSRF Prompt By-pass

网页上的手动发起请求的操作,是通过HTML+JavaScript向服务器请求,在这道题目中,我们需要在文本框中添加两个语句,一个用于请求用户转账,另一个用于触发确认界面。

这个实验的实现跟上个很类似,所以直接这样完成就行了:

haha
<img src='attack?Screen=465&menu=900&transferFunds=5314'5314 width='1' height='1'> <img src='attack?Screen=465&menu=900&transferFunds=CONFIRM' width='1' height='1'>

最后,这一部分的完成情况为:

3、Reflected XSS Attacks

打开xss的第三个攻击,在code框中输入<script>alert("20155317");</script>

点击Purchase出现对话框,显示20155317攻击成功!

五、实验感想

这次实验给了我们许多攻击实践的案例,让我们有一定目标和方法的去攻击某个东西,给我的启发就是,对于网页让有输入框的,能输入东西的,可以尝试采用注入的方式,不管是采用什么语言,都有可能注入成功。对于没有输入框的,我们可以采用抓包的方式去查看,已达到获取信息之类的成效。

20155317王新玮《网络对抗技术》实验9 web安全基础实践的更多相关文章

  1. 20145231熊梓宏 《网络对抗》 实验9 Web安全基础实践

    20145231熊梓宏 <网络对抗> 实验9 Web安全基础实践 基础问题回答 1.SQL注入攻击原理,如何防御? •SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面 ...

  2. 20155204 王昊《网络对抗技术》EXP2 后门原理与实践

    20155204 王昊<网络对抗技术>EXP2 后门原理与实践 一.实验内容 准备工作(试用ncat.socat) 1. 使用netcat获取主机操作Shell,cron启动. 明确目标: ...

  3. 2017-2018-2 20155314《网络对抗技术》Exp9 Web安全基础

    2017-2018-2 20155314<网络对抗技术>Exp9 Web安全基础 目录 实验目标 实验内容 实验环境 基础问题回答 预备知识 实验步骤--WebGoat实践 0x10 We ...

  4. 20165214 2018-2019-2 《网络对抗技术》Exp9 Web安全基础 Week13

    <网络对抗技术>Exp9 Web安全基础 Week13 一.实验目标与内容 1.实践内容 (1).本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目.包括(SQL,XSS,CSR ...

  5. 2018-2019-2 20165315《网络对抗技术》Exp9 Web安全基础

    2018-2019-2 20165315<网络对抗技术>Exp9 Web安全基础 目录 一.实验内容 二.实验步骤 1.Webgoat前期准备 2.SQL注入攻击 Command Inje ...

  6. 2018-2019-2 20165212《网络对抗技术》Exp9 Web安全基础

    2018-2019-2 20165212<网络对抗技术>Exp9 Web安全基础 基础问题回答 1.SQL注入攻击原理,如何防御? 原理:SQL注入,就是通过把SQL命令插入到Web表单递 ...

  7. 2018-2019 2 20165203 《网络对抗技术》Exp9 Web安全基础

    2018-2019 2 20165203 <网络对抗技术>Exp9 Web安全基础 实验要求 本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目,共3.5分.包括(SQL,XSS ...

  8. 20155201 网络攻防技术 实验九 Web安全基础

    20155201 网络攻防技术 实验九 Web安全基础 一.实践内容 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 二.报告内容: 1. 基础问题回答 1)SQL注入攻击 ...

  9. 20145302张薇 《网络对抗技术》逆向及BOF基础实践

    20145302张薇 <网络对抗技术>逆向及BOF基础实践 实验内容 实践对象:名为20145302的linux可执行文件. 该程序正常执行流程是:main调用foo函数,foo函数会简单 ...

  10. 20145210姚思羽《网络对抗技术》逆向及Bof基础实践

    20145210姚思羽<网络对抗技术>逆向及Bof基础实践 实践目标 1.本次实践的对象是一个名为pwn1的linux可执行文件. 2.该程序正常执行流程是:main调用foo函数,foo ...

随机推荐

  1. [iOS]圆形进度条及计时功能

    平时用战网安全令的时候很喜欢圆形倒计时的效果,然后简单看了一下Android的圆形进度条,后来又写了一个IOS的.整体界面参照IOS系统的倒计时功能,顺便熟悉了UIPickerView的一些特性的实现 ...

  2. CSS 小结笔记之变形、过渡与动画

    1.过渡 transition  过渡属性用法: transition :ransition-property  transition-duration  transition-timing-func ...

  3. Oracle EBS OPM complete batch

    --complete_batch --created by jenrry SET serveroutput on DECLARE x_return_status VARCHAR2 (1); l_exc ...

  4. Oracle EBS OPM 取消生产批

    --取消生产批 --created by jenrry SET serveroutput on; DECLARE p_batch_header_rec gme_batch_header%ROWTYPE ...

  5. windows10移动热点打开后手机不能上网

    电脑的win10操作系统自带有移动热点功能,可以共享上网,类似于手机的热点功能.今天在共享时遇到一些问题,现在解决了分享一下. 如果本身电脑无法上网,即wlan上网功能无效,有可能是驱动不兼容,可以在 ...

  6. .net 页面传参方式总结

    一.使用Querystring Querystring是一种非常简单的传值方式,其缺点就是:安全性低.会把要传送的值显示在浏览器的地址栏中(也就是不需要保密得参数),并且在此方法中不能够传递对象,参数 ...

  7. linux操作系统基础讲解

    计算机的组成及功能: 现在市场上的计算机组成结构遵循冯 诺依曼体系,由CPU.内存.I/O设备,存储四大部分组成. CPU是整个计算机的核心部件,主要由运算器和控制器组成,它负责整个计算机的程序运行以 ...

  8. 乘风破浪:LeetCode真题_035_Search Insert Position

    乘风破浪:LeetCode真题_035_Search Insert Position 一.前言 这次的问题比较简单,也没有限制时间复杂度,但是要注意一些细节上的问题. 二.Search Insert ...

  9. spark-机器学习实践-K近邻应用实践一

    K近邻应用-异常检测应用 原理: 根据数据样本进行KMeans机器学习模型的建立,获取簇心点,以簇为单位,离簇心最远的第五个点的距离为阈值,大于这个值的为异常点,即获得数据异常. 如图:

  10. beta冲刺————第四天(4/5)

    完善的具体内容: 前端:以下的功能还未完全实现 (1)点击收藏可以收藏入收藏夹 (2)分享操作,意见反馈 后端: 寻找文章来源,像数据库中增添了150篇的新文章.(我们的文章都要求自己内部人员看过,所 ...