2014531王亦徐 《网络对抗技术》 Web安全基础实践
实验内容
利用WebGoat平台尝试了一些XSS、CSRF、SQL注入攻击
基础问题回答
1、SQL注入攻击原理,如何防御
原理: SQL注入是指攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
简单地认为是将sql语句作为输入交给表单或者通过域名等将sql交给后台,从而欺骗服务器执行sql语句
防范:
过滤字符串,对一些数据库敏感字符进行过滤
尽量不要让用户的输入直接放到后台数据库直接执行
对用户输入的字符串进行合法性的判断
2、XSS攻击的原理,如何防御?
原理:允许用户将代码注入到网页上,并能够被浏览器成功地执行,其他用户在观看网页时就会受到影响
防范:对一些特殊字符进行检测,尤其是一些敏感的非法字符;对参数进行过滤,特殊字符、可执行代码不允许通过。
3、CSRF攻击原理,如何防御
原理:伪装来自受信任用户的请求来利用受信任的网站,向web server发送恶意的请求。
防范:避免全站通用的cookie,严格设置cookie的域;在页面中减少暴露用户隐私信息。
实验总结与体会
本次实验主要是利用webgoat尝试一些攻击,有XSS、CSRF、SQL攻击,做完实验不禁有种幻想,以后看到一个输入框就想,在里面输入点语句,从而获得一些后台的数据库信息,由此也可见程序人员在编写web后台是要注意很多细节,有一个漏洞就可能会给攻击人员机会。还有就是我们在看网页时,如果看不到源码,可以利用burpsuite等软件,从而截获数据,更改源码。所以如果我们将来在写网页代码使,一定要注意对一些敏感的字符进行检验、过滤,尽可能地避免sql注入攻击。
实验过程记录
首先运行webgoat 在命令行里执行:java -jar webgoat-container-7.0.1-war-exec.jar
XSS攻击
Stored XSS Attacks
该实验是在新建帖子的message里进行XSS攻击,从而点击写好的帖子便会遭受攻击
在输入框中输入<script>alert("xiaoli succeed!");</script>
Reflected XSS Attacks
与之前那个类似,在ACCESS CODE 框里填入获取COOKIE的javascript代码<script>alert("xiaoli succeed!");</script>
与上面那个相比,这个是非持久的,上面那个通过留言板是持久的。
Phishing with XSS
在文本框里写好一个钓鱼网站,点击提交后便能够显示你的登陆名和密码
Cross Site Request Forgery(CSRF)
这个实验是要写一个URL诱使其他用户点击,从而触发CSRF攻击,我们将其放在了图片里
在message框中输入<img src="http://localhost:8080/WebGoat/attack?Screen=279&menu=5311&transferFunds=
其中的参数根据提供的来进行设置
4000"/>
CSRF Prompt By-Pass
和上一个实验类似,但是这次我们需要有两个请求,一是转账请求,二是确认转账成功请求
先在浏览器中输入URL:localhost:8080/WebGoat/attack?Screen=267&menu=900&transferFunds=5000进入确认转账请求页面:
确认转账后再次输入localhost:8080/WebGoat/attack?Screen=267&menu=900&transferFunds=CONFIRM
便能够成功实现转账
SQL注入攻击
Numeric SQL Injection
利用sql语句注入使得原本只显示一个天气从而显示所有的天气信息
由于在网页中我们看不到网页执行sql语句的部分,所以我们利用burpsuite作为网页代理,将截获的数据修改后再次发向服务器
通过修改sql查询语句加上1=1的永真式,进而能够查询到所有的信息
Log Spoofing
这个实验通过利用回车换行%0d%0a来起到欺骗用户的目的,看上去是登陆成功了,实际上是失败的,知识一种障眼法
在user name处写入%0d%0aLogin succeeded !admin
String SQL Injection
同样是构造输入语句,由于用户名是字符类型的,所以需要加上‘,后面再加上永真式,并将后面的语句用--注释掉
在last name写是' or 1=1;--
SQL Injection
利用inspect elements修改输入框的字符长度限制,将其改为10,这样和之前的实验相似,通过构造永真式,便可以成功登陆
Database Backdoors1
本实验是要实现多条sql语句的注入
101是已给的存在的账户,可以先进行查询,可以得到用户信息
再接着就是现实所有的用户信息
在user ID中输入101;update employee set salary=5311;就能够更改101用户的salary信息
Database Backdoors2
第二步是要达到添加新用户时将新用户的邮箱改为固定的邮箱
直接使题目给定的语句101 or 1=1;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='20145311@163.com'WHERE userid = NEW.userid;
Blind Numeric SQL Injection
该实验是为找到cc_number为1111222233334444的pin大小,输入正常用户ID 只会告诉你该账户是否存在
要知道cc_number对应的pin,我们一个一个地尝试,并且不断地缩小范围
在numer框中输入101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 某个数值 );
通过该语句我们不断地缩小查找的范围,最终缩小到2000多
接着我们可以进行猜测,同时我们猜想是否可以利用暴力破解,对该pin值进行破解
后来通过其他同学的实践,发现利用burpsuite也可以实现类似暴力破解的功能,首先截获数据,send to intruder设置攻击好载荷后,填写数值的范围,进行攻击,最终我们会发现需要的pin值
在用户id中输入101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') = 2364 );可以发现是合法的
最终输入pin值2364便能够成功
