20145337《网络对抗技术》Web安全基础实践

20145337《网络对抗技术》Web安全基础实践

一、实验后回答问题

• 1.SQL注入攻击原理，如何防御

  • SQL注入攻击的本质是利用SQL语法，针对应用程序开发过程中的漏洞，从一个数据库获得未经授权的访问和直接检索

  • 防御：采用sql语句预编译和绑定变量；严格检查参数的数据类型，使用安全函数；给用户信息加密

• 2.XSS攻击的原理，如何防御

  - 是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚  本语言。XSS攻击的主要目的则是，想办法获取目标攻击网站的cookie，因为有了cookie相当于有了seesion，有了这些信息就可以在任意能接进互联网的pc登陆该网站，并以其他人的生份登陆，做一些破坏。
  

  • 防御：当恶意代码值被作为某一标签的内容显示：在不需要html输入的地方对html 标签及一些特殊字符( ” < > & 等等 )做过滤，将其转化为不被浏览器解释执行的字符；当恶意代码被作为某一标签的属性显示，通过用 “将属性截断来开辟新的属性或恶意方法：属性本身存在的 单引号和双引号都需要进行转码；对用户输入的html 标签及标签属性做白名单过滤，也可以对一些存在漏洞的标签和属性进行专门过滤。

• 3.CSRF攻击原理，如何防御

  • 原理：

• 防御：通过 referer、token 或者 验证码 来检测用户提交；尽量不要在页面的链接中暴露用户隐私信息；对于用户修改删除等操作最好都使用post 操作 ；避免全站通用的cookie，严格设置cookie的域。

二、实验总结与体会

• 学会了使用burpsuite，不过只是部分功能
• 这次的实践，sql部分比较容易弄懂，XSS和CSRF就有一丢丢难，总的来说，完成了最后一次实验，real开心。因为不用再做实验了呀~

三、实践过程记录

• 1.SQL字符串注入

  • 通过观察题目中SQL语句，注入 ' or 1=1 --构成永真式
  • SELECT * FROM user_data WHERE last_name = '' or 1=1 --'
  • 注入成功

• 2.数字型SQL注入

  • 数字型的题目比较简单，也无需封闭引号，通过设置代理，修改Params选项下的参数101 为 101 or 1=1
  • SELECT * FROM weather_data WHERE station = 101 or 1=1
  • 注入成功

• 3.命令注入

  • 题目要求：理解基于身份的认证，回答问题

  • 不是很明白要干什么，查看提示：使用系统命令，返回文件目录

  • 通过注入一条指令，更改显示内容

  • 使用burpsuite查看捕到的包的内容，

  • type='SUBMIT' value='View'><br><br><hr width='90%'>ExecResults for '[/bin/sh, -c, cat "/root/.extract/webapps/WebGoat/plugin_extracted/plugin/CommandInjection/resources/AccessControlMatrix.html"]'<br>Output...<br>

  • type属性为submit，为“View”按钮，动态执行cat命令——显示整个文件并输出

  • 注入AccessControlMatrix.help"&&cal"

  • 点击GO之后，显示成功

  • 

• 4.登陆电子欺骗

  • 题目要求：添加用户名，使其登陆的时候失败，但以为自己登陆成功
  • 在username中添加：20145337%0d%0aLogin Succeeded
  • 注入成功

• 5.LAB:Stage 1

  • 和字符串注入一样，在password那里注入' or 1=1 --'
  • 注入成功

• 6.盲数字注入

  • 允许用户输入帐号并确定其有效与否
  • 构造AND XXXX 语句来进行注入，判断其范围
  • 注入101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 100 );判断其上限
  • 101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 1000 );判断其下限
  • 多次尝试得到正确结果为：2364

• 7.跨站脚本钓鱼攻击

  • 编写钓鱼网站的页面（我并不会）

  • 在用户点击Search时出现另一个登陆界面，待用户输入用户名及密码后，攻击成功

  • 

  • 

• 8.存储型XSS攻击

  • 提示：放一个HTML标签在message中
  • 在title里输入标题，在message中注入脚本语言
  • 攻击成功

• 

• 9.反射型XSS

  • A simple script is <SCRIPT>alert('bang!');</SCRIPT>.

  • 好吧，就用这句提示<SCRIPT>alert('bang!');</SCRIPT>

  • 攻击成功

  • 

• 10.CSRF

  - 你的目标是发一个email给newsgroup，内容包括一个有恶意URL请求的图片。URL要指向“attack”（包含参数“Screen”和“Menu”，还有一个额外参数“transferFunds”）。当收到含有CSRF页面的邮件时，就会执行transferFunds
  - 在message中输入：`<img src='attack?Screen=277&menu=900&transferFunds=5000' width='1' height='1'>`
  - 当受害者浏览这个网页时，会在当前界面发送一个transferFunds的请求，浏览器认为得到图片，但实际上是一个资金转移。
  

  • 

• WebGoat截图