Exp9 Web安全实践基础 20154328 常城

Exp9 Web安全基础实践

1、基础问题回答

1. SQL注入攻击原理，如何防护？

• SQL注入攻击就是经过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意SQL命令的目的。
• 对于SQL注入攻击的防范，主要仍是从代码上入手：

1. 采用预编译语句集PreparedStatement，它内置了处理SQL注入的能力，只要使用它的setXXX方法传值便可。它的原理就是sql注入只对sql语句的准备(编译)过程有破坏做用，而PreparedStatement已经准备好了，执行阶段只是把输入串做为数据处理，而再也不对sql语句进行解析准备，所以也就避免了sql注入问题；
2. 使用正则表达式过滤传入的参数，对一些包含sql注入的关键字进行过滤；
3. 采用字符串过滤的方法；
4. jsp中调用该函数检查是否包含非法字符，防止SQL从URL注入。

2. XSS攻击的原理，如何防护？

• SS是代码注入的一种，它容许恶意用户将代码注入到网页上，并可以被浏览器成功的执行，其余用户在观看网页时就会受到影响。这类攻击一般包含了HTML以及用户端脚本语言。XSS攻击的主要目的是，想办法获取目标攻击网站的cookie，由于有了cookie至关于有了seesion，有了这些信息就能够在任意能接进互联网的pc登录该网站，并以其余人的身份登录，作一些破坏。
• 防护能够从如下两个方面进行：

1. 在表单提交或者URL参数传递前就对其参数进行过滤
2. 检查用户输入的内容中是否有非法的内容，例如尖括号、引号等之类的字符，严格控制输出。

3. CSRF攻击原理，如何防护？

• 咱们知道XSS是跨站脚本攻击，就是在用户的浏览器中执行攻击者的脚本，来得到其cookie等信息。而CSRF是借用用户的身份，向web server发送请求，由于该请求不是用户本意，因此称为“跨站请求伪造”。
• 对CSSRF的防护能够从一下几个方面进行;

1. 经过referer、token或者验证码来检测用户提交；
2. 尽可能不要在页面的连接中暴露用户隐私信息，对于用户修改删除等操做最好都使用post操做；
3. 避免全站通用的cookie，严格设置cookie的域。

2、实践内容

1. 关于WebGoat

• WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台，用来讲明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上，目前提供的训练课程有不少，包含了XSS、线程安全、SQL注入等，咱们本次的实验就是在WebGoat平台上进行。

1. WebGoat分为简单版和开发板，简单版是个Java的Jar包，只须要有Java环境便可，咱们在命令行里执行：java -jar webgoat-container-7.0.1-war-exec.jar运行WebGoat：

1. 打开后会发现本身的虚拟机中没有安装，我使用的是杨正晖分享的WebGoat7.1下载好后，将它放入home中，再次输入java -jar webgoat-server-7.1-exec.jar（由于下载的是7.1的版本，所以命令中的版本号须要从新改一下）

1. 打开浏览器，输入localhost:8080/WebGoat

1. 选择默认帐号、密码便可登录成功

2. SQL练习

Numeric SQL Injection

• 原理是这里有一个SQL语句
• SELECT * FROM weather_data WHERE station = [station]
• 能够拦截报文将station字段后补充成一个永真式101 OR 1=1
• 可使用kail上自带的火狐开发人员的调试工具将文本框打开。

• 将原语句修改成：SELECT * FROM weather_data WHERE station = 101 OR 1=1

• 因为1=1恒成立,点击go，看到全部城市的天气，成功。

Log Spoofing

• 日志伪造，目的是经过注入恶意字符串,按照规则伪造出一条日志,在Username输入
• zh%0d%0aLogin Succeeded for username: admin

• 其中%0d和%0a为CRLF换行符,看到的输出为

• 第二行就是咱们刚刚伪造出来的

XPATH Injection

• 题干的意思为你的帐号及密码为Mike/test123。你的目标是尝试查看其余员工的数据。
• 仍是须要构建永真式

• cc' or 1=1 or 'a'='a

String SQL Injection

• 字符注入，这里和前面数字注入的方法差很少，构造一个永真式，仍是用的以前的'or 1='1
• 'cc' OR '1'='1

• SELECT * FROM user_data WHERE last_name = 'cc' OR '1'='1'

LAB: SQL Injection

Stage 1：String SQL Injection

• 使用String SQL注入来绕过身份验证。

• 以用户Neville登陆，在密码栏中输入' or 1=1 --永真式进行SQL注入，可是发现登陆失败。发现password的最大长度为8，更改最大长度，将其改成100

• 再次登陆，成功

Stage 3:Numeric SQL Injection

• 该题目的目的是经过注入语句，浏览到本来没法浏览的信息。绕过认证执行SQL注入,经过一个普通员工的帐户larry，浏览其BOSS的帐户信息。
• 先使用上面的Larry的帐户

• 由于刷新了网页咱们须要从新修改最大字符长度

• 将value值改成101 or 1=1 order by salary desc，这样老板的信息就会被排到第一个

• 点击ViewProfile进去，便可查看老板的详细信息

SQL字符串注入（String SQL Injection）

• 题目大意是：这个表单容许使用者查询他们的信用卡号，使用SQL注入让全部的信用卡号都看得见。
• 咱们构造一个永真式“1”，那么无论前面的WHERE是否成立都能执行，因此构造语句'or 1='1,成功获得了所有的信用卡号。

图

Database Backdoors

• 输入注入语句：101; update employee set salary=65000，

• 接下来使用语句

• 101;CREATE TRIGGER yqhBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='20154322@qq.com' WHERE userid = NEW.userid建立一个后门，把表中全部的邮箱和用户ID都设为个人。

数字盲注（Blind Numeric SQL Injection）

• 题目中说明了下面的表单容许用户输入账号并肯定它是否有效，即返回值只有帐户有效或无效两种。

• 先输入101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 4000);，结果是
  Account number is valid.帐户有效，再试试先输入101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 4000);，结果是
  Account number is valid.帐户有效，再试试

• 再输入101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 2500 );，结果是
  Invalid account number.,帐户无效。也就是说，咱们要找的数在2000~2500之间

• 利用二分法，屡次尝试，找到数字为2364

盲字符串注入（Blind String SQL Injection）

• 输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) >'z' );进行猜解，发现结果为Account number is valid，帐户有效。再往大写的字母猜想，最终肯定首字母为J

• 接下来猜第二个字母
  输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 2, 1) >'h' );发现结果为Account number is valid，帐户有效。
• 最后肯定第二个字母为“i”

• 重复上述步骤，最终肯定用户名为“Jill”

3.Cross-Site Scripting (XSS)

跨站脚本钓鱼攻击（Phishing with XSS）

• 题目要求是关于一个页面中存在XSS漏洞时，他如何支持钓鱼攻击。要求咱们利用xss和html注入达到这些目标。

• 使用XSS和HTML插入制做一个钓鱼网站，将其输在search框中，代码以下：

• 输入后下拉网页，会有用户名和密码的框出现，随意输入用户名和密码

• 成功

反射型XSS（Reflected XSS Attacks）

• 输入带有攻击性的URL，如，就会弹出对话框

存储型xss（Stored XSS Attacks）

• 在Title里输入“Test Stored XSS”，

• 在 Message里输入
  

4. CSRF

Cross Site Request Forgery(CSRF)

• 实验目标：向新闻组发送一封email。这个email包含一个image，其URL指向一个恶意请求。
• CSRF就是冒名登陆，用代码伪造请求

• 在Title输入：20154328，在Message输入：

• 点击“Submit”，在Message List下出现一条提交的记录，以下图所示：

CSRF Prompt By-Pass

• 在Title输入：20154328；在Message输入：

• 以下图所示：

CSRF Token By-Pass

• 在Title输入：20154328

• 在Message输入构造的代码

• 击Submit，而后在Message List里点击“CSRF Token By-Pass Attack”，以下图所示：

实验总结与体会

• 作这些题目其实颇有意思，结合了一些情景，让咱们更加接近于实战。此次作的只是关于Web安全，还有不少其余方面的，好比逆向、密码等，以前也作过一些相似CTF的题目，虽然有的时候作出一道题目须要脑洞比较大，可是作得多了以后就会发现其实也没有那么难想到，由于不少套路你慢慢在作题中就能领悟到，我以为作题的过程也是一我的思考的过程，就算实在没想出来最后看了别人写的writeup也会很受启发，经历了思考的东西永远都是印象最深的。
• 经过此次的实验让我深入地理解了SQL注入，XSS，CSRF等攻击的攻击原理和方法。也再一次提醒我，陌生连接不要点。学完了发现，像SQL，XSS这些攻击大都须要猜想你的源代码，知道了你的源代码就很好攻击了，感受只要知道了你源代码我总能给你作点恶意攻击，同时，编写WEB前端后台的时候也要注意常见的或可能遇到的攻击，最后能不能攻击到，攻防你来我往地，就要看谁思路广、套路深了。