首页 > 代码库 > 20145311王亦徐 《网络对抗技术》 Web安全基础实践

20145311王亦徐 《网络对抗技术》 Web安全基础实践

2014531王亦徐 《网络对抗技术》 Web安全基础实践

实验内容

  • 利用WebGoat平台尝试了一些XSS、CSRF、SQL注入攻击

基础问题回答

1、SQL注入攻击原理,如何防御
原理: SQL注入是指攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
简单地认为是将sql语句作为输入交给表单或者通过域名等将sql交给后台,从而欺骗服务器执行sql语句

防范:

  • 过滤字符串,对一些数据库敏感字符进行过滤
  • 尽量不要让用户的输入直接放到后台数据库直接执行
  • 对用户输入的字符串进行合法性的判断

2、XSS攻击的原理,如何防御? 
原理:允许用户将代码注入到网页上,并能够被浏览器成功地执行,其他用户在观看网页时就会受到影响
防范:对一些特殊字符进行检测,尤其是一些敏感的非法字符;对参数进行过滤,特殊字符、可执行代码不允许通过。

3、CSRF攻击原理,如何防御
原理:伪装来自受信任用户的请求来利用受信任的网站,向web server发送恶意的请求。
防范:避免全站通用的cookie,严格设置cookie的域;在页面中减少暴露用户隐私信息。

实验总结与体会

本次实验主要是利用webgoat尝试一些攻击,有XSS、CSRF、SQL攻击,做完实验不禁有种幻想,以后看到一个输入框就想,在里面输入点语句,从而获得一些后台的数据库信息,由此也可见程序人员在编写web后台是要注意很多细节,有一个漏洞就可能会给攻击人员机会。还有就是我们在看网页时,如果看不到源码,可以利用burpsuite等软件,从而截获数据,更改源码。所以如果我们将来在写网页代码使,一定要注意对一些敏感的字符进行检验、过滤,尽可能地避免sql注入攻击。

实验过程记录

首先运行webgoat 在命令行里执行:java -jar webgoat-container-7.0.1-war-exec.jar

技术分享

XSS攻击

Stored XSS Attacks

该实验是在新建帖子的message里进行XSS攻击,从而点击写好的帖子便会遭受攻击

在输入框中输入<script>alert("xiaoli succeed!");</script>

技术分享

Reflected XSS Attacks

 

技术分享

技术分享

与之前那个类似,在ACCESS CODE 框里填入获取COOKIE的javascript代码<script>alert("xiaoli succeed!");</script>

与上面那个相比,这个是非持久的,上面那个通过留言板是持久的。

 

Phishing with XSS

在文本框里写好一个钓鱼网站,点击提交后便能够显示你的登陆名和密码

技术分享 

技术分享

Cross Site Request Forgery(CSRF)

这个实验是要写一个URL诱使其他用户点击,从而触发CSRF攻击,我们将其放在了图片里

在message框中输入<img src="http://localhost:8080/WebGoat/attack?Screen=279&menu=5311&transferFunds=

技术分享

其中的参数根据提供的来进行设置

技术分享

技术分享4000"/>

 

 CSRF Prompt By-Pass

和上一个实验类似,但是这次我们需要有两个请求,一是转账请求,二是确认转账成功请求

先在浏览器中输入URL:localhost:8080/WebGoat/attack?Screen=267&menu=900&transferFunds=5000进入确认转账请求页面:

技术分享

确认转账后再次输入localhost:8080/WebGoat/attack?Screen=267&menu=900&transferFunds=CONFIRM

便能够成功实现转账

技术分享

SQL注入攻

Numeric SQL Injection

利用sql语句注入使得原本只显示一个天气从而显示所有的天气信息

由于在网页中我们看不到网页执行sql语句的部分,所以我们利用burpsuite作为网页代理,将截获的数据修改后再次发向服务器

技术分享

技术分享

技术分享

通过修改sql查询语句加上1=1的永真式,进而能够查询到所有的信息

Log Spoofing

这个实验通过利用回车换行%0d%0a来起到欺骗用户的目的,看上去是登陆成功了,实际上是失败的,知识一种障眼法

在user name处写入%0d%0aLogin succeeded !admin

技术分享

 

String SQL Injection

同样是构造输入语句,由于用户名是字符类型的,所以需要加上‘,后面再加上永真式,并将后面的语句用--注释掉

在last name写是‘ or 1=1;--

技术分享

SQL Injection

利用inspect elements修改输入框的字符长度限制,将其改为10,这样和之前的实验相似,通过构造永真式,便可以成功登陆

技术分享

Database Backdoors1

本实验是要实现多条sql语句的注入

101是已给的存在的账户,可以先进行查询,可以得到用户信息

再接着就是现实所有的用户信息

在user ID中输入101;update employee set salary=5311;就能够更改101用户的salary信息

技术分享

Database Backdoors2

第二步是要达到添加新用户时将新用户的邮箱改为固定的邮箱

直接使题目给定的语句101 or 1=1;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email=‘20145311@163.com‘WHERE userid = NEW.userid;

技术分享

 

Blind Numeric SQL Injection

该实验是为找到cc_number为1111222233334444的pin大小,输入正常用户ID 只会告诉你该账户是否存在

要知道cc_number对应的pin,我们一个一个地尝试,并且不断地缩小范围

在numer框中输入101 AND ((SELECT pin FROM pins WHERE cc_number=‘1111222233334444‘) > 某个数值 );

通过该语句我们不断地缩小查找的范围,最终缩小到2000多

接着我们可以进行猜测,同时我们猜想是否可以利用暴力破解,对该pin值进行破解

后来通过其他同学的实践,发现利用burpsuite也可以实现类似暴力破解的功能,首先截获数据,send to intruder设置攻击好载荷后,填写数值的范围,进行攻击,最终我们会发现需要的pin值

在用户id中输入101 AND ((SELECT pin FROM pins WHERE cc_number=‘1111222233334444‘) = 2364 );可以发现是合法的

最终输入pin值2364便能够成功

技术分享

20145311王亦徐 《网络对抗技术》 Web安全基础实践