20145236《网络对抗》Exp9 web安全基础实践

Posted 20145236冯佳

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了20145236《网络对抗》Exp9 web安全基础实践相关的知识,希望对你有一定的参考价值。

20145236《网络对抗》Exp9 web安全基础实践

一、基础问题回答:

  1. SQL注入攻击原理,如何防御
    • SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
    • 利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
    • 对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装,把异常信息存放在独立的表中。
  2. XSS攻击的原理,如何防御
    • XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是:Reflected XSS(基于反射的XSS攻击)、 Stored XSS(基于存储的XSS攻击)、 DOM-based or local XSS(基于DOM或本地的XSS攻击)
    • 过程 :攻击者发现XSS漏洞——构造代码——发送给受害人——受害人打开——攻击者获取受害人的cookie——完成攻击
    • 预防措施
      • 反射型:前端在显示服务端数据时候,不仅是标签内容需要过滤、转义,就连属性值也都可能需要。 后端接收请求时,验证请求是否为攻击请求,攻击则屏蔽。
      • 存储型: 首要是服务端要进行过滤,因为前端的校验可以被绕过。当服务端不校验时候,前端要以各种方式过滤里面可能的恶意脚本,例如script标签,将特殊字符转换成html编码。
  3. CSRF攻击原理,如何防御
    • CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式,CSRF利用方式可分为两种, GET类型的CSRF和post类型的CSRF
    • 过程:攻击者发现CSRF漏洞——构造代码——发送给受害人——受害人打开——受害人执行代码——完成攻击
    • 目前主流的做法是使用Token抵御CSRF攻击

二、实践过程记录

开启webgoat

  1. 在在终端中输入java -jar webgoat-container-7.0.1-war-exec.jar开启webgoat,直到出现INFO: Starting ProtocolHandler ["http-bio-8080"]
  2. 打开浏览器,在浏览器中输入localhost:8080/WebGoat进入webgoat。(注意"WebGoat"大小写敏感),进入webgoat(用户名和密码默认便可)

(一)SQL注入

Numeric SQL Injection

  • 这一步中用到了burpsuite做代理。
  • 该题并没有文本框让我们直接进行输入操作,我们只能通过滑动文本框选择地点,sql语句的生成代码可能是写在web页面的源码中,也可能是在后台服务中进行,但是无论是哪一种,表单都需要将搜集到的信息写进数据包中通过网络传输给后台,这就给了我们篡改的机会
  • 我们先随便选择一个地点并进行查询,根据其反馈的sql语句来看,我们需要修改的就是station部分,之后我们就需要用到另一个工具burp-suite,通过将burp-suite设置浏览器的代理服务器,作为中间服务器,这样我们就可以截获从浏览器中发送出去的所有数据包,并将其中内容修改成我们想要的样子
  • 打开burp-suiteproxyoptions选项中添加新的代理(默认为8080,不过被apache2占用了)
  • 修改了浏览器的代理服务器之后,随便选择一个城市就会发现burp-suite中已经抓到了我们刚刚发送出去的数据包

Log Spoofing

  • 题意是要我们使用管理员admin身份完成登录,其实就只是要根本的目的是将管理员admin登录成功这一条记录写进日志中
  • 首先我们进行尝试,无论我们输入什么username,日志都显示登录失败
  • 这次我尝试对输入的username做出一些改变输入guest ok来查看反馈结果
  • 这样我们就有一个思路如果我们输入任意用户名之后,接上我们想要写进日志里的记录是不是就达到了我们的目的,于是我们在考虑换行符的编码的情况下可以这样构造这样一条语句guest%0aLogin Succeeded for username:admin最后结果显示欺骗成功

String SQL Injection

  • 通过输入查询的语句使得整张表得以显示,在其中输入‘ or 1=1;--
  • 此时注入的SQL语句为SELECT * FROM user_data WHERE last_name = ‘‘ or 1=1;--‘,即查询表中所有信息

Stage 3 Numeric SQL Injection

  • 这个实验要求我们以larry的身份登录,实现对Neville的profile信息的浏览,首先跟上一次实验的方式一样登陆上去,这样点击ViewProfile是无效的
  • 在代理中将行为从Login改为ViewProfile
  • 将ID改为Neville的ID,并让将其置于首位112 or 1=1 order by salary desc--
  • 成功看见了Neville的信息。

Blind Numeric SQL Injection

  • 按照题目的意思是,我们可以验证已经输入的数字是否合法,例如101,因此我们可以构造条件1 AND 条件2,观察最终结果是否合法来判断条件2是否为真
  • 例如我们可以构造101 AND ((SELECT pin FROM pins WHERE cc_number=‘1111222233334444‘) > 5236 );来验证其设定的pin值是否大于5236,按照这个原理,我们可以不断的缩小所要搜寻的pin的值,直到找到该pin值
  • 不过我不是很理解的是,为何不通过直接输入数字观察结果为valid或者invalid来判断该数字大于还是小于pin值,通过二分法同样可以一步一步逼近设定的pin值,并不知道为何还需要注入

Blind String SQL Injection

  • 基本思路类似于之前的盲数字注入,只是猜测的对象变成了字符所对应的ascii码,从根本上来说其实还是一种对数字的猜测
  • 构造101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number=‘4321432143214321‘), x, y) = ‘h‘ );来测试出我们需要的字符串到底是啥
  • 因为这个测试次数较之上一个实验要多,所以完全依靠手工输入的工作量太大,使用burp-suite中的intruder中的payloads来进行爆破,一一测试所有可能性

(二)XSS攻击

Phishing with XSS 跨站脚本钓鱼攻击

  • 在菜单栏中依次选择Cross-site scriptingphishing with xss,这个攻击类似于上一个练习的一个进阶版,不仅能插入script标签还能插入其他标签构成完整的web代码(如下)

    </form>
    <script>
        function hello(){
            alert("hello,5319");
        }
    </script>
    <form>
        <br><br><h2>please input your stu_number and pwd</h2><br><br>
        stu_number:
        <br><input type="text" name="stunumber"><br>
        password:
        <br><input type="password" name="pwd"><br>
        <input type="submit" name="submit" value="login" onclick="hello()">
    
    </form>
  • 伪造网页,把获取的用户名和密码传给WebGoat/capture
  • name="login" value="login" onclick="hack()点击login后,执行hack(),获取用户名密码,并弹窗Had this been a real attack... Your credentials were just stolen.User Name ="你的用户名 " Password = "你的密码"

Stored XSS Attacks 存储型XSS攻击

  • 基于存储的xss攻击,把攻击者的数据存储在服务器端,攻击将伴随着攻击数据一直存在。
  • 在Message里输入<script>alert("It‘s 5236!");</script>
  • .出现超链接,点击会弹出:It‘s 5236!
  • 可以利用填入的脚本来盗取信息。
  • 攻击代码存储在服务器端,每次加载就会执行。

Reflected XSS Attacks

  • 基于反射的xss攻击
  • 在输入框中注入<SCRIPT>alert(document.cookie);</SCRIPT>得到cookies
  • 也可以输入指定的URL值,这里的效果为弹出方框http://www.targetserver.com/search.asp?input=<script>alert("hello20145236");</script>

(三)XSCF攻击

CSRF(Cross Site Request Forgery)

  • 在message里输入<img src=‘attack?Screen=280&menu=900&transferFunds=100000‘ width=‘1‘ height=‘1‘>这其中,280是我网页的scr,900是我的网页的menu,100000是转钱数额
  • 点击submit,方才的代码就会被执行

CSRF Prompt By-Pass

  • 与上个实验类似,同样是通过邮件的方式进行恶意请求,这里添加了请求确认的要求,所以需要两个iframe模块,输入如下:

    <iframe src="attack?Screen=自己的src&menu=自己的menu&transferFunds=5000"> </iframe>
    <iframe src="attack?Screen=自己的src&menu=自己的menu&transferFunds=CONFIRM"> </iframe>

三、实验总结与体会

这一次的实验用到了webgoat,在其中做了关于SQL注入、XSS攻击和CSRF攻击,由于是全英文的网页所以对英文能力也有一定的考验==,在上一次的web基础实验中我对SQL注入、XSS攻击的理解只是表面的理解,实现的功能也很简单,这些知识点在这一次的实验中得到了很直观的学习,并且这一次的实验也警示我们,做网站编程的时候一定要对用户输入的信息做一个合法性的判断,不然会非常危险。

以上是关于20145236《网络对抗》Exp9 web安全基础实践的主要内容,如果未能解决你的问题,请参考以下文章

#20155232《网络对抗》Exp9 Web安全基础

20155308《网络对抗》Exp9 Web安全基础实践

2018-2019-2 20165204《网络对抗技术》 Exp9 Web安全基础

2018-2019-2 网络对抗技术 20165324 Exp9: Web安全基础

# 20155337《网络对抗》Exp9 Web安全基础

20155207 《网络对抗》 Exp9 Web安全基础