20165229 NetSec Exp9 Web安全基础
一、实验概述
0.WebGoat准备工作
(一)SQL注入攻击
1.命令注入(Command Injection)
2.数字型SQL注入(Numeric SQL Injection)
3.日志欺骗(Log Spoofing)
4.字符串型注入(String SQL Injection)
5.LAB: SQL Injection
6.数据库后门(Database Backdoors)
7.数字型盲注入(Blind Numeric SQL Injection)
8.字符串型盲注入(Blind String SQL Injection)
(二)XSS攻击
1.Phishing with XSS
2.Stored XSS Attacks
3.Reflected XSS Attacks
(三)CSRF攻击
1.Cross Site Request Forgery(CSRF)
2.CSRF Prompt By-Pass
二、实验内容
0.WebGoat准备工作
- 由于下载太慢,我就找同学拷的
webgoat-container-7.0.1-war-exec.jar - 进入该文件的目录下,输入指令
java -jar webgoat-container-7.0.1-war-exec.jar运行Webgoat,结尾出现信息:Starting ProtocolHandler ["http-bio-8080"]说明开启成功,可以看到webgoat占用8080端口。注:实验过程中不能关闭此终端。
- 在浏览器中输入
http://localhost:8080/WebGoat进入WebGoat登录界面,直接用默认用户名密码登录即可。
(一)SQL注入攻击
- SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
1.命令注入(Command Injection)
-
目标:能够在目标主机上执行任何系统命令
-
点击左侧栏中
Injection Flaws->Command Injection,右击复选框,选择Inspect Element审查网页元素对源代码进行修改,点击下方标蓝的向右箭头,使内容显示出来,双击AccessControlMatrix.help,在末尾添加"& netstat -an & ipconfig"。
-
点击上方复选框右侧的View,看到网络端口使用情况和 IP 地址,攻击成功。
2.数字型SQL注入(Numeric SQL Injection)
- 目标:显示天气情况。
- 点击
Injection Flaws->Numeric SQL Injection,
右击复选框Columbia,选择Inspect Element审查网页元素对源代码value="101"进行修改,在城市编号101后面添加or 1=1。 - go 攻击成功
3.日志欺骗(Log Spoofing)
- 目标:使用户名为admin的用户在日志中显示成功登录。
- 点击
Injection Flaws->Log Spoofing,
在User Name中填入webgoat%0d%0aLogin Succeeded for username: zkj20165229,利用回车0D%和换行符%0A让其在日志中两行显示。 - 密码为默认值,点击Login,可以看到webgoat在Login Fail那行显示,自己添加的zkj201652296语句在下一行显示。
4.字符串型注入(String SQL Injection)
- 目标:基于查询语句构造自己的SQL注入字符串,将所有信用卡信息显示出来。
- 点击
Injection Flaws->String SQL Injection,输入查询的用户名zkj' or 1=1--
,使用'提前闭合"",插入永真式1=1,且--注释掉后面的内容,这样就能select表里面的所有数据。
5.LAB: SQL Injection
-
目标:使用SQL注入绕过认证。
-
点击
Injection Flaws->LAB:SQL Injection,在密码框输入' or 1=1 --,登录失败,会发现密码只有一部分输入,说明密码长度有限制。
-
右击
Password,选择nspect Element审查网页元素对可输入密码长度进行修改。
-
重新输入' or 1=1 --,登录成功。
(二)XSS攻击
Stored XSS Attacks
-
常见于论坛等留言、用户留言创建非法的消息内容,输入一段JavaScript脚本,其被保存在数据库中,任何用户在打开网页的时候,这个脚本就会被从数据库中取出来而运行,可以导致其他用户访问非预期的页面或内容。
-
点击
XSS- >Stored XSS Attacks,在Title中输入20165229,留言板Message中输入<script>alert("20165229 attack succeed hhhhh!");</script>。
(三)CSRF攻击
Cross Site Request Forgery(CSRF)
-
CSRF通过伪装来自受信任用户的请求来利用受信任的网站。目标:向一个新闻组发送一封邮件,邮件中包含一张图片,这个图像的URL指向一个恶意请求。
-
点击
XSS->Cross Site Request Forgery(CSRF),查看下方Parameters中的scr和menu值为330和900。 -
在
Message框中输入
,以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件。其中语句中的&transferFunds=5229即转走的受害人的金额,宽高设置成1像素的目的是隐藏该图片。
- 点击Submit提交,在Message List中生成以Title命名的链接。点击该链接,当前页面就会下载这个消息并显示出来,转走用户的5000元,从而达到CSRF攻击的目的。
三、回答问题
(1)SQL注入攻击原理,如何防御
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
sql注入攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql语句以及进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。
比如登录过程,SQL语句一般为select id from users where username = '"+username +"' and password = '" + password +"',这里的username和password都是我们存取从web表单获得的数据。如果我们在表单中username的输入框中输入' or 1=1--,此时我们所要执行的sql语句就变成了select id from users where username = '' or 1=1-- and password = ''。
对SQL注入攻击的防御,主要有:
-
关闭或删除不必要的交互式提交表单页面;
-
对漏洞注入点相关代码进行代码及SQL注入关键字的过滤,以规范代码安全性;
-
不要在服务器端放置备份的文件以免受到感染,或备份的文件含有漏洞,造成切入点
(2)XSS攻击的原理,如何防御
-
览器自身可以识别简单的XSS攻击字符串,从而阻止简单的XSS攻击;从根本上说,解决办法是消除网站的XSS漏洞,这就需要网站开发者运用转义安全字符等手段。
-
一个原则:不相信用户输入的任何数据!
(3)CSRF攻击原理,如何防御
-
改良站内 API 的设计。对于发布帖子这一类创建资源的操作,应该只接受 POST 请求,而 GET 请求应该只浏览而不改变服务器端资源。
-
使用“请求令牌”。首先服务器端要以某种策略生成随机字符串,作为令牌(token),保存在Session里。然后在发出请求的页面,把该令牌以隐藏域一类的形式,与其他信息一并发出。在接收请求的页面,把接收到的信息中的令牌与Session中的令牌比较,只有一致的时候才处理请求,否则返回 HTTP 403 拒绝请求或者要求用户重新登陆验证身份。