20145236《网络对抗》Exp9 web安全基础实践

20145236《网络对抗》Exp9 web安全基础实践

一、基础问题回答：

1. SQL注入攻击原理，如何防御
   • SQL Injection：就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。
   • 利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。
   • 对用户的输入进行校验，可以通过正则表达式，或限制长度，对单引号和双"-"进行转换等。应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装，把异常信息存放在独立的表中。
2. XSS攻击的原理，如何防御
   • XSS（cross-site scripting跨域脚本攻击）攻击是最常见的Web攻击，其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种，分别是：Reflected XSS（基于反射的XSS攻击）、 Stored XSS（基于存储的XSS攻击）、 DOM-based or local XSS（基于DOM或本地的XSS攻击）
   • 过程 ：攻击者发现XSS漏洞——构造代码——发送给受害人——受害人打开——攻击者获取受害人的cookie——完成攻击
   • 预防措施：
     • 反射型：前端在显示服务端数据时候，不仅是标签内容需要过滤、转义，就连属性值也都可能需要。 后端接收请求时，验证请求是否为攻击请求，攻击则屏蔽。
     • 存储型： 首要是服务端要进行过滤，因为前端的校验可以被绕过。当服务端不校验时候，前端要以各种方式过滤里面可能的恶意脚本，例如script标签，将特殊字符转换成HTML编码。
3. CSRF攻击原理，如何防御
   • CSRF（Cross-site request forgery）跨站请求伪造，由于目标站无token/referer限制，导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式，CSRF利用方式可分为两种， GET类型的CSRF和post类型的CSRF
   • 过程：攻击者发现CSRF漏洞——构造代码——发送给受害人——受害人打开——受害人执行代码——完成攻击
   • 目前主流的做法是使用Token抵御CSRF攻击

二、实践过程记录

开启webgoat

1. 在在终端中输入java -jar webgoat-container-7.0.1-war-exec.jar开启webgoat，直到出现INFO: Starting ProtocolHandler ["http-bio-8080"]
2. 打开浏览器，在浏览器中输入localhost:8080/WebGoat进入webgoat。(注意"WebGoat"大小写敏感)，进入webgoat（用户名和密码默认便可）

（一）SQL注入

Numeric SQL Injection

• 这一步中用到了burpsuite做代理。
• 该题并没有文本框让我们直接进行输入操作，我们只能通过滑动文本框选择地点，sql语句的生成代码可能是写在web页面的源码中，也可能是在后台服务中进行，但是无论是哪一种，表单都需要将搜集到的信息写进数据包中通过网络传输给后台，这就给了我们篡改的机会
• 我们先随便选择一个地点并进行查询，根据其反馈的sql语句来看，我们需要修改的就是station部分，之后我们就需要用到另一个工具burp-suite,通过将burp-suite设置浏览器的代理服务器，作为中间服务器，这样我们就可以截获从浏览器中发送出去的所有数据包，并将其中内容修改成我们想要的样子
• 打开burp-suite在proxy的options选项中添加新的代理（默认为8080，不过被apache2占用了）
• 修改了浏览器的代理服务器之后，随便选择一个城市就会发现burp-suite中已经抓到了我们刚刚发送出去的数据包

Log Spoofing

• 题意是要我们使用管理员admin身份完成登录，其实就只是要根本的目的是将管理员admin登录成功这一条记录写进日志中
• 首先我们进行尝试，无论我们输入什么username，日志都显示登录失败
• 这次我尝试对输入的username做出一些改变输入guest ok来查看反馈结果
• 这样我们就有一个思路如果我们输入任意用户名之后，接上我们想要写进日志里的记录是不是就达到了我们的目的，于是我们在考虑换行符的编码的情况下可以这样构造这样一条语句guest%0aLogin Succeeded for username:admin最后结果显示欺骗成功

String SQL Injection

• 通过输入查询的语句使得整张表得以显示，在其中输入' or 1=1;--
• 此时注入的SQL语句为SELECT * FROM user_data WHERE last_name = '' or 1=1;--'，即查询表中所有信息

Stage 3 Numeric SQL Injection

• 这个实验要求我们以larry的身份登录，实现对Neville的profile信息的浏览，首先跟上一次实验的方式一样登陆上去，这样点击ViewProfile是无效的
• 在代理中将行为从Login改为ViewProfile
• 将ID改为Neville的ID，并让将其置于首位112 or 1=1 order by salary desc--
• 成功看见了Neville的信息。

Blind Numeric SQL Injection

• 按照题目的意思是，我们可以验证已经输入的数字是否合法，例如101,因此我们可以构造条件1 AND 条件2，观察最终结果是否合法来判断条件2是否为真
• 例如我们可以构造101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 5236 );来验证其设定的pin值是否大于5236，按照这个原理，我们可以不断的缩小所要搜寻的pin的值，直到找到该pin值
• 不过我不是很理解的是，为何不通过直接输入数字观察结果为valid或者invalid来判断该数字大于还是小于pin值，通过二分法同样可以一步一步逼近设定的pin值，并不知道为何还需要注入

Blind String SQL Injection

• 基本思路类似于之前的盲数字注入，只是猜测的对象变成了字符所对应的ascii码，从根本上来说其实还是一种对数字的猜测
• 构造101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), x, y) = 'h' );来测试出我们需要的字符串到底是啥
• 因为这个测试次数较之上一个实验要多，所以完全依靠手工输入的工作量太大，使用burp-suite中的intruder中的payloads来进行爆破，一一测试所有可能性

（二）XSS攻击

Phishing with XSS 跨站脚本钓鱼攻击

• 在菜单栏中依次选择Cross-site scripting，phishing with xss，这个攻击类似于上一个练习的一个进阶版，不仅能插入script标签还能插入其他标签构成完整的web代码（如下）

</form>
    <script>
        function hello(){
            alert("hello,5319");
        }
    </script>
    <form>
        <br><br><h2>please input your stu_number and pwd</h2><br><br>
        stu_number:
        <br><input type="text" name="stunumber"><br>
        password:
        <br><input type="password" name="pwd"><br>
        <input type="submit" name="submit" value="login" onclick="hello()">

    </form>

• 伪造网页，把获取的用户名和密码传给WebGoat/capture
• name="login" value="login" onclick="hack()点击login后，执行hack（），获取用户名密码,并弹窗Had this been a real attack... Your credentials were just stolen. User Name ="你的用户名 " Password = "你的密码"

Stored XSS Attacks 存储型XSS攻击

• 基于存储的xss攻击，把攻击者的数据存储在服务器端，攻击将伴随着攻击数据一直存在。
• 在Message里输入<script>alert("It's 5236!");</script>
• .出现超链接，点击会弹出：It's 5236!
• 可以利用填入的脚本来盗取信息。
• 攻击代码存储在服务器端，每次加载就会执行。

Reflected XSS Attacks

• 基于反射的xss攻击
• 在输入框中注入<SCRIPT>alert(document.cookie);</SCRIPT>得到cookies
• 也可以输入指定的URL值，这里的效果为弹出方框http://www.targetserver.com/search.asp?input=<script>alert("hello20145236");</script>

（三）XSCF攻击

CSRF（Cross Site Request Forgery）

• 在message里输入<img src='attack?Screen=280&menu=900&transferFunds=100000' width='1' height='1'>这其中，280是我网页的scr，900是我的网页的menu，100000是转钱数额
• 点击submit，方才的代码就会被执行

CSRF Prompt By-Pass

• 与上个实验类似，同样是通过邮件的方式进行恶意请求，这里添加了请求确认的要求，所以需要两个iframe模块，输入如下：

<iframe src="attack?Screen=自己的src&menu=自己的menu&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=自己的src&menu=自己的menu&transferFunds=CONFIRM"> </iframe>

三、实验总结与体会

这一次的实验用到了webgoat，在其中做了关于SQL注入、XSS攻击和CSRF攻击，由于是全英文的网页所以对英文能力也有一定的考验==，在上一次的web基础实验中我对SQL注入、XSS攻击的理解只是表面的理解，实现的功能也很简单，这些知识点在这一次的实验中得到了很直观的学习，并且这一次的实验也警示我们，做网站编程的时候一定要对用户输入的信息做一个合法性的判断，不然会非常危险。