Web安全基础实践

实践过程记录

实验准备:

  • 输入命令java -jar webgoat-container-7.0.1-war-exec.jar,一直等待等待直到出现

  • 在浏览器中打开localhost:8080/WebGoat

SQL练习

1.String SQL Injection

  • 题目的意思是输入用户名查询表单,现在想显示所有用户名信用卡号。
  • 我们只需要构造一个永真式,将WHERE部分的结果忽略,只执行后面的1,即输入'or '1'='1,第一个分号用来闭合lastname的第一该分号,第二个闭合后面的分号,这样就将一条语句拆成了两条语句。

2.Command Injection

  • 题目为命令行注入,猜测可能是要实现命令行的功能,但是只有一个选择下拉菜单,所以首先想到查看其网页代码,定位到选择框

  • 右键可以看到有编辑html的选项。添加netstat -a语句(查看开放所有端口),但是看到前后均有双引号,所以添加两个闭合他们,&&连接两条语句

3.Numeric SQL Injection

  • 数字型SQL注入,通过下拉菜单查看天气注入,要求直接查看所有的天气。和上述实验类似,查看他的网页代码,点开编辑网页,可以发现与上一题不同,这里没有‘’所以我们只需在101后面加上or 1=1即可。

4.Log Spoofing

  • 日志欺骗,你的目标是是用户名为admin的用户在日志中显示成功登陆。明确①不需要登陆成功②实际上就是输入一个用户名叫登陆成功:admin③在ASCII码中回车换行表示为%0a%0d

5.String SQL Injection

  • 无密码登陆,发现他输入password的地方做了限制只能八位,所以打开代码,将长度改为20,格式类型改为文本框。再输入之前的` or1=1` 记得看清题目,要选择老板为Neville)

6.Database Backdoors

  • 数据库后门,使用SQL注入修改员工工资
  • 首先构造永真式or 1=1 ,在SQL中修改信息使用update语句,即updata employee set salary=8888888

XSS(Cross-Site Scripting)

7.Phishing with XSS

  • 创建表单,引导访问者输入用户名密码,并将表单提交到指定网页。

8.Stored XSS Attacks

  • 存储型XSS攻击,要写入一个网页或弹窗,随便试了一个title 和message发现均有输出,所以可以在任意的文本框中写入一个弹窗代码<SCRIPT>alert('Hi,5224!');</SCRIPT>

9.Reflected XSS Attacks

  • 反射型XSS攻击,要求得到脚本访问信用卡表单字段;
    示例代码如下:
    ");

    10.CSRF Prompt By-pass

    • 跨站请求伪造。
      <img src='attack?Screen=278&menu=900&transferFunds=5000'>

    实验后回答问题

    (1)SQL注入攻击原理,如何防御

    原理:

    • 对用户的输入继续严格的控制,避免出现构造注销符号-- ,或者构造永真式的机会。
    • 是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

      防御

    • 不信任任何人,将全部的数据进行验证(在服务器端进行验证)
    • 避免使用动态的SQL。例如预备陈述和参数化的查群等。
    • 使用web应用防护墙,即使更新漏洞打补丁。

    (2)XSS攻击的原理,如何防御

    原理:

    • 攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。,XSS漏洞分为两种,一种是DOM Based XSS漏洞,另一种是Stored XSS漏洞。前者是基于网页DOM结构的攻击,后者攻击代码已经存储到服务器上或数据库中,用来收集cookie信息的一种方式。

    防御

    • 与SQL攻击防御方法大致相同,都是对用户输入加以限制和验证。
    • 实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行。

    (3)CSRF攻击原理,如何防御

    原理:

    • CSRF攻击即跨站伪造攻击,顾名思义,就是攻击者向目标网站注入一个恶意的URL跨站地址,当用户点击了该URL,就可以进行一些用户本不希望的事情。

    防御

    • 通过 referer、token 或者 验证码 来检测用户提交。
    • 尽量不要在页面的链接中暴露用户隐私信息。
    • 对于用户修改删除等操作最好都使用post 操作 。
    • 避免全站通用的cookie,严格设置cookie的域。

    实验总结与体会

    • 做攻击的时候还是很有趣,只有亲自去尝试的时候才明白其真正的原理。看全篇英文的题目的结果就是我完全不知道在讲啥,,,,,,连针对谁的攻击都看不见,,,,六级可能过了个假的。还有就是有些时候可能因为网速的原因,输入了正确答案还是不能congratulation,很奔溃。

    20145238-荆玉茗 《网络对抗技术》-Web安全基础实践的更多相关文章

    1. 20145308 《网络对抗》Web安全基础实践 学习总结

      20145308 <网络对抗> Web安全基础实践 学习总结 实验内容 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 基础问题回答 (1)SQL注入攻击原理, ...

    2. 20145326蔡馨熤《网络对抗》—— Web安全基础实践

      20145326蔡馨熤<网络对抗>—— Web安全基础实践 1.实验后回答问题 (1)SQL注入攻击原理,如何防御. 原理: SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程 ...

    3. 20145216史婧瑶《网络对抗》Web安全基础实践

      20145216史婧瑶<网络对抗>Web安全基础实践 实验问题回答 (1)SQL注入攻击原理,如何防御 攻击原理: SQL注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些 ...

    4. 20145227鄢曼君《网络对抗》Web安全基础实践

      20145227鄢曼君<网络对抗>Web安全基础实践 实验后回答问题 1.SQL注入攻击原理,如何防御? SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是 ...

    5. 20145217《网络对抗》 Web安全基础实践

      20145217<网络对抗> Web安全基础实践 一.实践任务 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 二.实验后回答问题 (1)SQL注入攻击原理,如 ...

    6. 20155326《网络对抗》Web安全基础实践

      20155326<网络对抗>Web安全基础实践 实验后回答的问题 SQL注入攻击原理,如何防御? 原理:SQL注入攻击指的是在Web应用对后台数据库查询语句处理存在的安全漏洞,通过构建特殊 ...

    7. 20155206《网络对抗》Web安全基础实践

      20155206<网络对抗>Web安全基础实践 实验后问题回答 (1)SQL注入攻击原理,如何防御 攻击原理:SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查 ...

    8. 20155211 网络对抗 Exp9 Web安全基础实践

      20155211 网络对抗 Exp9 Web安全基础实践 基础问题回答 SQL注入攻击原理,如何防御? 原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语 ...

    9. 20155305《网络对抗》Web安全基础实践

      20155305<网络对抗>Web安全基础实践 基础问题回答 SQL注入攻击原理,如何防御? 原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL ...

    10. 20155307《网络对抗》Web安全基础实践

      20155307<网络对抗>Web安全基础实践 基础问题回答 SQL注入攻击原理,如何防御? 原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL ...

    随机推荐

    1. C# 多线程系列之Mutex使用

      互斥量是一个内核对象,它用来确保一个线程独占一个资源的访问,并且互斥量可以用于不同进程中的线程互斥访问资源. 我们可以把Mutex看作一个出租车,乘客看作线程.乘客首先等车,然后上车,最后下车.当一个 ...

    2. 一:SpringMVC架构流程

      架构流程: 1.用户发送请求至前端控制器DispatcherServlet 2.DispatcherServlet收到请求调用HandlerMapping处理器映射器. 3.处理器映射器根据请求url ...

    3. Spring学习笔记:Spring动态组装打印机

      一.如何开发一个打印机 1.可灵活配置使用彩色魔盒或灰色魔盒 2.可灵活配置打印页面的大小 二.打印机功能的实现依赖于魔盒和纸张 三.步骤: 1.定义墨盒和纸张的接口标准 package cn.pri ...

    4. cygwin 的安装和配置

           Cygwin是一个在windows平台上运行的类UNIX模拟环境,是cygnus solutions公司开发的自由软件(该公司开发的著名工具还有eCos,不过现已被Redhat收购).它对于 ...

    5. maven父子项目

      maven搭建父子项目 1.先建立一个父项目,建立项目的时候,选择  Create a simple project 点击 next,填写以下信息 点击finish就可以了. 2.接下来要建立一个子项 ...

    6. Js事件监听封装(支持匿名函数)

      先看demo:http://liutian1937.github.io/demo/EventListen.html/*绑定事件与取消绑定*/ var handleHash = {}; var bind ...

    7. 从零开始的全栈工程师——html篇1.5

      列表与边距探讨和行块 一.列表 1.无序列表(UL) 1)内部必须有子标签<li></li>2)天生自带内外边距 p也是自带 大家会发现用UL的时候内容前面会出现一个像这样的一 ...

    8. avalon2简单数据绑定(自定义属性绑定)

      <!DOCTYPE html> <html> <head> <title>项目</title> <meta charset=" ...

    9. HTML 发表说说 制作方法

      ==================================================================================================== ...

    10. Android解析ActivityManagerService(二)ActivityTask和Activity栈管理

      前言 关于AMS,原计划是只写一篇文章来介绍,但是AMS功能繁多,一篇文章的篇幅远远不够.这一篇我们接着来学习与AMS相关的ActivityTask和Activity栈管理. 1.ActivitySt ...