20145238-荆玉茗 《网络对抗技术》-Web安全基础实践

Web安全基础实践

实践过程记录

实验准备：

• 输入命令java -jar webgoat-container-7.0.1-war-exec.jar，一直等待等待直到出现
  

• 在浏览器中打开localhost:8080/WebGoat

SQL练习

1.String SQL Injection

• 题目的意思是输入用户名查询表单，现在想显示所有用户名信用卡号。
• 我们只需要构造一个永真式，将WHERE部分的结果忽略，只执行后面的1，即输入'or '1'='1,第一个分号用来闭合lastname的第一该分号，第二个闭合后面的分号，这样就将一条语句拆成了两条语句。

2.Command Injection

• 题目为命令行注入，猜测可能是要实现命令行的功能，但是只有一个选择下拉菜单，所以首先想到查看其网页代码，定位到选择框
  

• 右键可以看到有编辑html的选项。添加netstat -a语句（查看开放所有端口），但是看到前后均有双引号，所以添加两个闭合他们，&&连接两条语句
  

3.Numeric SQL Injection

• 数字型SQL注入，通过下拉菜单查看天气注入，要求直接查看所有的天气。和上述实验类似，查看他的网页代码，点开编辑网页，可以发现与上一题不同，这里没有‘’所以我们只需在101后面加上or 1=1即可。
  

4.Log Spoofing

• 日志欺骗，你的目标是是用户名为admin的用户在日志中显示成功登陆。明确①不需要登陆成功②实际上就是输入一个用户名叫登陆成功：admin③在ASCII码中回车换行表示为%0a%0d
  

5.String SQL Injection

• 无密码登陆，发现他输入password的地方做了限制只能八位，所以打开代码，将长度改为20，格式类型改为文本框。再输入之前的` or1=1` 记得看清题目，要选择老板为Neville）
  

6.Database Backdoors

• 数据库后门，使用SQL注入修改员工工资
• 首先构造永真式or 1=1 ，在SQL中修改信息使用update语句，即updata employee set salary=8888888

XSS（Cross-Site Scripting）

7.Phishing with XSS

• 创建表单，引导访问者输入用户名密码，并将表单提交到指定网页。
  

8.Stored XSS Attacks

• 存储型XSS攻击，要写入一个网页或弹窗，随便试了一个title 和message发现均有输出，所以可以在任意的文本框中写入一个弹窗代码<SCRIPT>alert('Hi,5224!');</SCRIPT>
  

9.Reflected XSS Attacks

• 反射型XSS攻击，要求得到脚本访问信用卡表单字段；
  示例代码如下：
  ");

  10.CSRF Prompt By-pass

  • 跨站请求伪造。
    <img src='attack?Screen=278&menu=900&transferFunds=5000'>
    

  实验后回答问题

  （1）SQL注入攻击原理，如何防御

  原理：

  • 对用户的输入继续严格的控制，避免出现构造注销符号-- ,或者构造永真式的机会。

  • 是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

    防御

  • 不信任任何人，将全部的数据进行验证（在服务器端进行验证）
  • 避免使用动态的SQL。例如预备陈述和参数化的查群等。

  • 使用web应用防护墙，即使更新漏洞打补丁。

  （2）XSS攻击的原理，如何防御

  原理：

  • 攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。，XSS漏洞分为两种，一种是DOM Based XSS漏洞，另一种是Stored XSS漏洞。前者是基于网页DOM结构的攻击，后者攻击代码已经存储到服务器上或数据库中，用来收集cookie信息的一种方式。

  防御

  • 与SQL攻击防御方法大致相同，都是对用户输入加以限制和验证。
  • 实现Session标记（session tokens）、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。

  （3）CSRF攻击原理，如何防御

  原理：

  • CSRF攻击即跨站伪造攻击，顾名思义，就是攻击者向目标网站注入一个恶意的URL跨站地址，当用户点击了该URL，就可以进行一些用户本不希望的事情。

  防御

  • 通过 referer、token 或者 验证码 来检测用户提交。
  • 尽量不要在页面的链接中暴露用户隐私信息。
  • 对于用户修改删除等操作最好都使用post 操作 。
  • 避免全站通用的cookie，严格设置cookie的域。

  实验总结与体会

  • 做攻击的时候还是很有趣，只有亲自去尝试的时候才明白其真正的原理。看全篇英文的题目的结果就是我完全不知道在讲啥，，，，，，连针对谁的攻击都看不见，，，，六级可能过了个假的。还有就是有些时候可能因为网速的原因，输入了正确答案还是不能congratulation，很奔溃。