20155206《网络对抗》Web安全基础实践

20155206《网络对抗》Web安全基础实践

实验后问题回答

（1）SQL注入攻击原理，如何防护
攻击原理：SQL注入攻击就是经过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意SQL命令的目的
防护手段：利用输入规则限制进行防护，不容许特殊字符输入

（2）XSS攻击的原理，如何防护
攻击原理：跨站脚本攻击，容许恶意用户将恶意Script代码注入到网页上，当用户浏览网页时，嵌入其中Web里面的Script代码会被执行，从而被攻击，其余用户在观看网页时就会受到影响。XSS攻击的主要目的是，想办法获取目标攻击网站的cookie，由于有了cookie至关于有了seesion，有了这些信息就能够在任意能接进互联网的pc登录该网站，并以其余人的身份登录，作一些破坏。
防护手段：过滤特征字符，限制用户输入，拒绝网页的可执行代码输入。

（3）CSRF攻击原理，如何防护

攻击原理：CSRF跨站请求伪造，也被称为“oneclickattack”或者sessionriding，一般缩写为CSRF或者XSRF，是一种对网站的恶意利用，经过假装来自受信任用户的请求来利用受信任的网站。是一种依赖web浏览器的、被混淆过的代理人攻击。
防护手段：经过referer、token或者验证码来检测用户提交在form中包含秘密信息、用户指定的代号做为cookie以外的验证、按期清理保存的cookie

实验过程

、 在终端中输入java -jar webgoat-container-7.0.1-war-exec.jar开启WebGoat。

、打开浏览器，在地址栏输入localhost:8080/WebGoat打开WebGoat，选择默认帐号、密码便可登录成功。

XSS攻击

一、Phishing with XSS 跨站脚本钓鱼攻击

、跨站脚本攻击最大的魅力是经过HTML注入劫持用户的浏览器，任意构造用户当前浏览的HTML内容，甚至能够模拟用户当前的操做。实验的是一种获取用户名和密码的攻击

、 在webgoat找到xss攻击打开Phishing with XSS

、 编写一个包含用户名、密码的前端代码：
`