20145330 《网络对抗》 Web安全基础实践

20145330 《网络对抗》 Web安全基础实践

1.实验后回答问题

(1)SQL注入攻击原理,如何防御

  • SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

  • SQL注入攻击是黑客对数据库进行攻击的常用手段之一。

  • SQL注入攻击指的是就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

  • 防御:

    • 1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,双"-"进行转换等。

    • 2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

    • 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。

    • 4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。

(2)XSS攻击的原理,如何防御

  • XSS攻击:跨站脚本攻击。
  • XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略。
  • 防御:
    • 基于特征的防御 :
      • 传统XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击,采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索,一旦发现提交信息中包含“javascript”,就认定为XSS攻击。
    • 基于代码修改的防御:
      • 步骤1、对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。

      • 步骤2、实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行。

      • 步骤3、确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag(没有javascript),去掉任何对远程内容的引用(尤其是样式表和javascript),使用HTTP only的cookie。

(3)CSRF攻击原理,如何防御

  • CSRF即跨站请求伪造。借用用户的身份,向web server发送请求,因为该请求不是用户本意,所以称为“跨站请求伪造”。

  • CSRF一般的攻击过程是,攻击者向目标网站注入一个恶意的CSRF攻击URL地址(跨站url),当(登录)用户访问某特定网页时,如果用户点击了该URL,那么攻击就触发了。

  • 防御

    • referer

      • 因为伪造的请求一般是从第三方网站发起的,所以第一个防御方法就是判断 referer 头,如果不是来自本网站的请求,就判定为CSRF攻击。但是该方法只能防御跨站的csrf攻击,不能防御同站的csrf攻击(虽然同站的csrf更难)。
    • 使用验证码

      • 每一个重要的post提交页面,使用一个验证码,因为第三方网站是无法获得验证码的。还有使用手机验证码,比如转账是使用的手机验证码。
    • 使用token

      • 每一个网页包含一个web server产生的token, 提交时,也将该token提交到服务器,服务器进行判断,如果token不对,就判定位CSRF攻击。

      • 将敏感操作又get改为post,然后在表单中使用token. 尽量使用post也有利于防御CSRF攻击。

2.实验总结与体会

通过每个具体的练习来体会各个攻击的作用,我觉得还是很有意思的。但是英文页面确实对我来说不算很友好啊。。。

3.实践过程记录

1、webgoat开启:

页面会停在最后一行(INFO:)

2、SQL注入攻击:

SQL字符串注入(String SQL Injection)

题目要求尝试使用SQL注入,使得所有银行卡都可以被展现。

首先按题目尝试输入Smith,发现查询出来都是last_name是Smith的表单,分析后知道是需要WHERE这个条件语句失效,构造语句'or 1='1
第一个分号用来闭合last_name的第一个分号,而第二个分号用来闭合last_name的第二个分号。将一条语句被强行拆分成为两条语句。

Log Spoofing

题目要求伪造一个username使成功登陆。

在用户名处通过使用%0d%0a(回车换行)以及文字内容输入来迷惑。

  • LAB SQL Injection

Stage 1 String SQL Injection

字符串型注入,要求使用SQL注入绕过认证,实现无密码登陆。

在密码栏输入' or 1 = 1 --,发现根本输不了这么长,查看源代码,原来最长只能输入8位,把长度限定改为15,把文本框格式改为text。

再次输入' or 1 = 1 --

Stage 3 Numeric SQL Injection

数字型注入,要求使用一个普通员工的账户,浏览其BOSS的账户信息。

首先通过Larry的账户登陆(密码为larry),更改登录后页面源代码value值为112 or 1=1 order by salary desc

点击ViewProfile查看信息

Blind Numeric SQL Injection

盲数字注入,目标是得到一个存放在pins表中值pin的内容,行号cc_number=1111222233334444

经尝试,输入>2363时是有效的,大于2364时是无效的,所以临界值是2364

3、XSS攻击

Phishing with XSS(跨站脚本钓鱼攻击)

关于一个页面中存在XSS漏洞时,他如何支持钓鱼攻击。

在文本框里面写一个钓鱼网站代码就可以了,这里我参考了蔡野同学的代码。

将代码粘过去后登录,成功。

Stored XSS Attacks

在message里面随便输入:


	<script>
	    alert("20145330");
	</script>

效果如图:

Reflected XSS Attacks

根据题意和提示在下面文本框中输入http://www.targetserver.com/search.asp?input=<script>alert("20145330");</script>

这个是通过写在url里面达到的效果,里面的脚本也可以改写成其他任意恶意的内容。

4、CSRF攻击

Cross SSite Request Forgery(CSRF)

题目要求在新建邮件里写入可以更改由题目要求的attack的src、menu的transferFunds数值参数:

<img src='attack?Screen=280&menu=900&transferFunds=5000' width='1' height='1'>

参数在页面下方可以查看,每个人的都不一样:

提交后在下面的Message List里面可以看刚刚发送的邮件:

CSRF Prompt By-Pass

与上一个题目类似,是通过邮件的方式进行恶意请求。

在message里写入内容为:

<iframe
    src="attack?Screen=273&menu=900&transferFunds=5000">
</iframe>
 
<iframe
    src="attack?Screen=273&menu=900&transferFunds=CONFIRM">
</iframe>

这里可以得知请求确认的模块里transferFunds参数的值:

完成情况:

posted @ 2017-05-11 21:06  20145330孙文馨  阅读(311)  评论(0编辑  收藏  举报