• 20145302张薇 《网络对抗技术》 web安全基础实践


    20145302张薇 《网络对抗技术》 web安全基础实践

    实验问题回答

    1.SQL注入攻击原理,如何防御

    • 原理:攻击者把SQL命令插入到网页的各种查询字符串处,达到欺骗服务器执行恶意的SQL命令。
    • 防御:在网页设计时对文本框的输入进行限制,比如说长度限制、不能出现#号等

    2.XSS攻击的原理,如何防御

    • 原理:攻击者在可输入域插入一些html或脚本语言使服务器执行那些代码
    • 防御:关键字防御,比如过滤<script>这种敏感词汇,减少被攻击的风险

    3.CSRF攻击原理,如何防御

    • 原理:一般人A在登陆后,在自己的主机页面点击的各类请求都是以A的名义发送的,即A有A的权限;攻击者B在网页注入一个恶意的CSRF攻击URL地址,在A点击后,B借用A的身份进行非法操作,即B有了A的权限
    • 防御:1.cookie的保存时间不宜过长;2.服务器要求用户输入相对应的验证码;3.服务器尽量在表单中使用post方法

    实验总结与体会

    • 在提交博客的时候发现:博客园没对xss攻击进行防御啊……使用<iframe>标签,后面的内容直接就被眯掉了,还有<br>换行……直接就在网页换行了啊兄弟……
    • 还有<script>也不行啊!!!
    • 想实现SQL注入,首先要对SQL语句了解
    • 想实现xss攻击,我们需要了解网页前端如何编写
    • 想实现CSRF攻击,我们需要了解cookie的原理

    实践过程记录

    1.phishing with XSS

    • 跨站脚本钓鱼攻击

    • 这道题我们只做出登陆的界面是无法通过的,我们需要使用script语言来捕获用户输入的用户名与密码

    2.Stored XSS Attacks

    • 储存式XSS攻击

    • <Script Language="JavaScript"> alert("20145302what??????????"); </Script>

    • 这就是简单的xss攻击啊,在信息框输入我们想要的操作就行

    3.Reflected XSS Attacks

    • 反射型XSS攻击

    • 代码只在Enter your three digit access code:这个框输入攻击有效

    4.Cross Site Request Forgery (CSRF)

    • 跨站请求伪造

    • 这道题的题意是攻击者发一个帖子,用户点进去后被攻击者盗用身份进行一些恶意的行为

    • 题中告诉我们需要找到screen和menu这两个信息,这两个信息在网页右侧有显示;并告知恶意行为是转5000;另外,为了让用户没有察觉,我们把恶意攻击行为隐藏在一个用户看不见的图片中

    • <img src='attack?Screen=278&menu=900&transferFunds=5000' width='1' height='1'>

    • 点进我们的帖子,左侧就会显示绿色的小对勾了,帖子显示如下:

    • 可以看到message处没有什么东西的感觉,为了观察明显,我们再发一个帖子,并将图片的长度与宽度调为10:

    • 很明显的观察到了我们的小图片

    5.CSRF Prompt By-Pass

    • 题意要求转账与确认转账两部分,而且给了格式

    • test anzunayinger!<img src='attack?Screen=266&menu=900&transferFunds=5000' width='1' height='1'><img src='attack?Screen=266&menu=900&transferFunds=CONFIRM' width='1' height='1'>

    • 点进帖子即可成功,除了用观察不到的图片外,我们可以使用<iframe>标签来插入恶意代码(<iframe>标签不是所有浏览器都支持)

    6.String SQL Injection

    • 很简单的

    **7.Database Backdoors **

    • 这道题用了上一道题的表,所以输入一个101 or 1=1;试一下:

    • 出现了所有人的信息,但是还没成功,我又读了一下题,发现得更新工资栏,所以输入:101 or 1=1;update employee set salary=5302;

    8.Numeric SQL Injection

    • 这道题的特点是用户不能在文本框内输入,只能选择按钮,所以我们需要用到代理服务器

    • 我们将捕捉到的信息send to repeater,随后我们在send to repeater标签内将Params表格的位置数据改为永真式,这样我们就可以将四个位置的温度都显示出来了

    • 之前我试了直接在Raw标签内修改,这种方法是错误的,因为我们可以看到在Params表格内修改后Raw的数据不是普通的十进制数字,而是ASCII码的形式

    • 在右侧,可以观察到SQL语句更变为查找了永真式:

    • 我们将代理服务器拦截关闭后回到webgoat题目部分,即成功

    9.Log Spoofing

    • ……刚做这个用永真式试了半天一直不对……看了提示才发现……这道题是假装登陆成功
    • <br>Welcome!admin! You Login succeeded!</br>
    • 嘻嘻,这是一个致命的错误,用<br>一辈子也成功不了……
    • 我们应该使用%0d%0a这个回车换行符号来进行欺骗

    10.stage 1: String SQL Injection

    • 这道题先尝试在密码框输入:' or 1 = 1 --,发现密码框被设置只能输入8位,这样登陆是失败的

    • 所以我们在密码框处右键进入Inspect Element,将其长度改为16,格式改为text便于我们查看自己输入的东西:

    • 输入' or 1 = 1 --,登陆成功,用户名是larry:)

  • 相关阅读:
    Linux下SVN(Subversion)自动启动脚本
    Linux安装SVN
    【转】utf-8的中文是一个汉字占三个字节长度
    24-《分布式系统架构的本质》系列04——分布式系统关键技术:全栈监控
    23-《分布式系统架构的本质》系列03——分布式系统的技术栈
    22-《分布式系统架构的本质》系列02——从亚马逊的实践,谈分布式系统的难点
    由 leetcode 136. Single Number 引出的异或总结
    【工具软件】-Beyond Compare4 试用到期
    01-更新软件源
    01-程序员也要会项目管理
  • 原文地址:https://www.cnblogs.com/5302v/p/6861271.html
Copyright © 2020-2023  润新知