教材内容总结
SQL注入
SQL是一种数据库标准语言,SQL注入攻击是黑客对数据库进行攻击的常用手段之一。相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是SQL注入。
SQL注入攻击步骤和过程:
发现SQL注入点
判断后台数据库类型
后台数据库中管理员用户口令字猜解
上传ASP后门,得到默认账户权限
本地权限提升
利用数据库扩展存储过程执行Shell命令
XSS
XSS是指在一些防护性弱的网站上,攻击者在网页中嵌入客户端脚本, 用户浏览网页就会触发恶意脚本执行。 比如获取用户的Cookie,导航到恶意网站,携带木马等。
拒绝服务攻击
拒绝服务攻击就是想尽办法让你的服务器无法正常提供服务,具体手段包括:消耗包括网络带宽、存储空间、CPU 时间等资源;破坏或者更改配置信息;物理破坏或者改变网络部件;利用服务程序中的处理错误使服务失效
Web浏览器的安全威胁
浏览器安全困境三要素:复杂性、可扩展性、连通性。其安全威胁位置有:网络协议、浏览器端系统平台、插件、社会工程学。
网页挂马机制
内嵌HTML标签
恶意Script脚本
内嵌对象链接
ARP欺骗挂马
教材作业实践
SQL注入实践
1.运行 Apache Server
2.关闭对抗措施
登陆www.sqllabmysqlphpbb.com网站 需要用户名密码
输入ted'# ted是一个已经存在的用户名,用单引号结束这个字符串,用#转义掉后面的语句。
XSS 攻击实验
登录到论坛后发布一个帖子,帖子中包含以下内容:
<script>alert(’XSS’);</script>
视频学习
BBQSql是一个Python编写的盲注工具(blind SQL injection framework),当检测可疑的注入漏洞时会很有用。同时BBQSQL是一个半自动工具,允许客户自定义参数。
DBPwAudit(数据库用户名密码枚举工具)
HexorBase 图形化的密码破解与连接工具,开源
jsql Injection(java)jsql是一款轻量级安全测试工具,可以检测SQL注入漏洞,他跨平台(windows,Linux,Mac os,Solaris),开源且免费。将存在注入漏洞的URL贴进来即可进行响应的漏洞利用。图形化界面比较亲民,但是使用效果有待改善。
MDBtools
包括MDB-Export,以及MDB-Dump,mdb-parsecsv,mdb-sql,mdb-tables等子工具,具体环境具体使用。
oscanner和sidgusser: 针对oracle的口令破解工具
sqlsus: 开源的mysql注入和接管工具,perl编写
sqlninja: perl编写,针对sqlserver
sqlmap
Python编写
sqlmap -u 'adress' --cookie='PHOSESSID=...;security=low'
burp suite
攻击web应用程序的集成平台
OWASP ZAP: 一款查找网页应用程序漏洞的综合类渗透测试工具。
VEGA: 开源的web应用程序安全测试平台,Vega能帮助验证SQL注入、跨站脚本(XSS)、敏感信息泄露和其他一些安全漏洞。Vega使用java编写,有GUI,可以在多平台下运行。Vega类似于Paros Proxy, Fiddler, Skipfish and ZAproxy。
Paros: 是一个对web应用程序的漏洞进行评估的代理程序,是一个基于Java的web代理程序,可以评估web应用程序的漏洞。
bed: 是一个纯文本协议的Fuzz工具,能够检查常见的漏洞,如缓冲溢出,格式串漏洞,整数溢出等。
Fuzz_ipv6: THC出品的针对IPV6协议的模糊测试工具。
powerfuzzer: 有gui的fuzz工具。BurpSuite等WEB代理也具有响应Fuzz能力。
Wfuzz: 针对WEB应用的模糊测试工具,主要功能都依赖于字典。参数中FUZZ相当于一个变量,用字典中的字段来替换它完成猜解,比BurpSuite更加轻量级。
遇到的问题
运行jsql时:报错: An error occured while checking updates, download the latest version from official website :https://github.com/ron190/jsql-injection/releases。
根据提示是没有更新jsql,执行命令apt-get dist-upgrade即可。
学习进度条
学习内容 学习时间
课本11、12章学习 5小时
kali视频16-20 5小时
教材实践 3小时
整理写博客 2小时