《网络攻防》 Exp9 Web安全基础
一、实验后回答问题
-
SQL注入攻击原理,如何防御:
- 原理:
- 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
- 防御:
- 检查变量数据类型和格式只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式,这样很大程度上可以避免SQL注入攻击。
- 过滤特殊符号:对于无法确定固定格式的变量,一定要进行特殊符号过滤或转义处理。
- 绑定变量,使用预编译语句:MySQL的mysqli驱动提供了预编译语句的支持,不同的程序语言,都分别有使用预编译语句的方法
- 原理:
-
XSS攻击的原理,如何防御:
- 原理:
- 恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。
- 防御:
- 一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤
- 在输入方面对所有用户提交内容进行可靠的输入验证,提交内容包括URL、查询关键字、http头、post数据等
- 严格执行字符输入字数控制,因为XSS代码往往很多,所以要对字符数进行控制
- 原理:
-
CSRF攻击原理,如何防御:
-
原理:
- 跨站请求伪造,攻击者盗用了你的身份,以你的名义发送恶意请求。
- CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账
- 造成的问题包括:个人隐私泄露以及财产安全。
-
防御:
- 验证码
- 可以在某些敏感操作过程中,加入验证码,以确认用户身份
- Token:CSRF能攻击成功,根本原因是:操作所带的参数均被攻击者猜测到。既然知道根本原因,我们就对症下药,利用Token。当向服务器传参数时,带上Token。这个Token是一个随机值,并且由服务器和用户同时持有。当用户提交表单时带上Token值,服务器就能验证表单和session中的Token是否一致。
-
二、实验总结与体会
- 这次实验是最后一次实验,可以说是肥肠激动了,就要结束了,想想就开心,不过抛过国考不说,还是挺happy的。
- 可是这个实验让我有点恼,步骤众多,异常繁琐,不得已借助了大佬博客的帮助,多方借鉴参考,终于完成了。
- 虽然这次实验开始做的时候挺难的,开始练题目都看不懂,还好有百度机翻帮了大忙。
- 做到最后,其实发现本次的实践难度还可以吧,主要是忘了太多的网页开发编程和SQL语句时硬伤,但是其实本门课程还挺有意思的。
- 在这次实践里最能体现的就是看老板工资那次,还得想到老板肯定是挣得最多的,感觉很贴近现实吧,学起来没那么空乏就感觉好理解一些。
三、实践过程记录
1. 安装WebGoat 8.0:
-
WebGoat是干嘛的?
- WebGoat是故意不安全的web应用程序由OWASP旨在教给web应用程序安全性。你可以安装与WebGoat和实践。在每一堂课中,用户必须证明他们对安全问题的理解WebGoat 应用程序利用一个真正的脆弱性。例如,在一个教训的用户必须使用SQL注入偷假信用卡号码。应用程序旨在提供一个现实的教学环境,为用户提供提示和代码进一步解释其中的教训。
-
安装:
- 经过多方位的走访,我发现这个WebGoat是一个不存在的网站,就和YouTube一样,我们无法访问下载,所以,这篇博客到此为止,本次实验就此结束。
但是怎么可能呢?作为电科院的一名学生,求知探索是永恒不变的追求,所以这个时候就要“科学上网了”(不过听说有人被网警发短信警告了······兄弟们要是我没了,要记得我)我把“科学上网”得来的文件上传到百度云盘,不想或者不会“科学上网”小伙伴可在这儿下载,密码: ss37
- 输入命令
java -jar webgoat-server-8.0.0.M14.jar:
- 打开浏览器,地址栏输入
127.0.0.1:8080/WebGoat,注册用户,即可正常使用。
- 经过多方位的走访,我发现这个WebGoat是一个不存在的网站,就和YouTube一样,我们无法访问下载,所以,这篇博客到此为止,本次实验就此结束。
2. 练习:
SQL注入部分:
- Injection Flaws
输入提示姓名会得到相关信息:
使用上一次实验用过的万能公式就得到了所有人的信息:
同样输入一个永真式,数字注入,得到所有人的信息:
下一个:本题要求通过Smith的信息联合得到Dave的密码,根据提示信息可以得到存储用户密码的表名为 user_system_data,列为password。
输入Smith' order by 7--到Name,即可得到正确的反馈信息
根据以上信息,输入Smith' union select null,null,null,null,null,null,null from user_system_data --获取Dave的密码,输入密码:
- BurpSuite:
kali中的搜索应用程序BurpSuite,启动,配置本机BurpSuite,在Proxy->Option```` 中选择add``` 添加项:
设置浏览器,进行代理:
- Cross-Site Scripting
第一步是要求你在一个购物车支付界面面找到优惠券的代码,给你自己打折,我们查看网页源代码,找到判断优惠券的函数:
查看优惠券的值:PLATINUM
第一步,在支付界面输入优惠券代码:
第二步要求全单免费,将数值改为0。
- Numeric Injection
要求能够显示所有地方的天气,需要修改网页代码。搜索Columbia,找到value,修改value=“101 or 1=1”,目的是注入一个永真式。
- String SQL Injection
通过注入实现免密码登录,直接修改长度限制,进行注入:
密码栏输入' or 1=1 --
- Numeric SQL Injection
用员工账号登陆,通过SQL注入来查看老板的账户信息:
用上一步的方法进入员工账号:
修改源代码,将value值改为101 or 1=1 order by salary desc --,点击viewprofile键:
- String SQL Injection
SQL注入查看所有人的信息:
- Log Spoofing
通过注入恶意字符串,伪造出一条日志:在username输入:zh%0d%0aLogin Succeeded for username: admin:
- Database Backdoors
在输入userid的地方输入101; update employee set salary=20155334:
建后门:注入语句101;creat TRIGGER lxmBackDoor BEFORE insert on employee FOR EACH ROW BEGIN update employee SET email='20154305@besti.edu.cn' WHERE userid = NEW.userid
- Blind Numeric SQL Injection
构造输入语句101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 数值 );,根据返回的语句是否合法判断pin值的范围。
根据返回结果可知,pin值小于3000大于2000,使用二分法,直到最后结果是2364:
Cross-Site Scripting (XSS)部分:
-
Phishing with XSS
在搜索框中输入XSS攻击代码,利用XSS可以在已存在的页面中进一步添加元素的特点。我们先创建一个form,让受害人在我们创建的form中填写用户名和密码,再添加一段JavaScript代码,读取受害人输入的用户名和密码,并且将这些信息发送给http://localhost:8080/WebGoat/catcher?PROPERTY=yes:
输入用户名和密码,结果:
-
Stored XSS Attacks
此题用户A可以任意输入,然后用户B点击用户A的留言,触发XSS,title可以任意输入,Message输入消息,可以嵌入一段js代码,用户点击后即可触发,例如输入:<script>alert("Welcome Qsss");</script>:
-
Reflected XSS Attacks
在enter your three digit access code处输入<script>alert("Qsss attack succeed!");</script>:
Cross Site Request Forgery(CSRF)部分:
在Message里输入恶意代码: <iframe src="attack?Screen=282&menu=900&transferFunds=6666"></iframe>
点击学号名即可查看用户操作的信息,攻击成功:
