20145330 《网络对抗》 Web安全基础实践

20145330 《网络对抗》 Web安全基础实践

1.实验后回答问题

（1）SQL注入攻击原理，如何防御

• SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

• SQL注入攻击是黑客对数据库进行攻击的常用手段之一。

• SQL注入攻击指的是就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

• 防御：

  • 1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，双"-"进行转换等。

  • 2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

  • 3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

  • 4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。

（2）XSS攻击的原理，如何防御

• XSS攻击：跨站脚本攻击。
• XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略。
• 防御：
  • 基于特征的防御 ：
    • 传统XSS防御多采用特征匹配方式，在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击，采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索，一旦发现提交信息中包含“javascript”，就认定为XSS攻击。
  • 基于代码修改的防御：

    • 步骤1、对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。

    • 步骤2、实现Session标记（session tokens）、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。

    • 步骤3、确认接收的的内容被妥善的规范化，仅包含最小的、安全的Tag（没有javascript），去掉任何对远程内容的引用（尤其是样式表和javascript），使用HTTP only的cookie。

（3）CSRF攻击原理，如何防御

• CSRF即跨站请求伪造。借用用户的身份，向web server发送请求，因为该请求不是用户本意，所以称为“跨站请求伪造”。

• CSRF一般的攻击过程是，攻击者向目标网站注入一个恶意的CSRF攻击URL地址(跨站url)，当(登录)用户访问某特定网页时，如果用户点击了该URL，那么攻击就触发了。

• 防御

  • referer

    • 因为伪造的请求一般是从第三方网站发起的，所以第一个防御方法就是判断 referer 头，如果不是来自本网站的请求，就判定为CSRF攻击。但是该方法只能防御跨站的csrf攻击，不能防御同站的csrf攻击(虽然同站的csrf更难)。

  • 使用验证码

    • 每一个重要的post提交页面，使用一个验证码，因为第三方网站是无法获得验证码的。还有使用手机验证码，比如转账是使用的手机验证码。

  • 使用token

    • 每一个网页包含一个web server产生的token, 提交时，也将该token提交到服务器，服务器进行判断，如果token不对，就判定位CSRF攻击。

    • 将敏感操作又get改为post,然后在表单中使用token. 尽量使用post也有利于防御CSRF攻击。

2.实验总结与体会

通过每个具体的练习来体会各个攻击的作用，我觉得还是很有意思的。但是英文页面确实对我来说不算很友好啊。。。

3.实践过程记录

1、webgoat开启：

页面会停在最后一行（INFO：）

2、SQL注入攻击：

SQL字符串注入（String SQL Injection）

题目要求尝试使用SQL注入，使得所有银行卡都可以被展现。

首先按题目尝试输入Smith，发现查询出来都是last_name是Smith的表单，分析后知道是需要WHERE这个条件语句失效，构造语句'or 1='1
第一个分号用来闭合last_name的第一个分号，而第二个分号用来闭合last_name的第二个分号。将一条语句被强行拆分成为两条语句。

Log Spoofing

题目要求伪造一个username使成功登陆。

在用户名处通过使用%0d%0a（回车换行）以及文字内容输入来迷惑。

• LAB SQL Injection

Stage 1 String SQL Injection

字符串型注入，要求使用SQL注入绕过认证，实现无密码登陆。

在密码栏输入' or 1 = 1 --，发现根本输不了这么长，查看源代码，原来最长只能输入8位，把长度限定改为15，把文本框格式改为text。

再次输入' or 1 = 1 --

Stage 3 Numeric SQL Injection

数字型注入，要求使用一个普通员工的账户，浏览其BOSS的账户信息。

首先通过Larry的账户登陆（密码为larry），更改登录后页面源代码value值为112 or 1=1 order by salary desc

点击ViewProfile查看信息

Blind Numeric SQL Injection

盲数字注入，目标是得到一个存放在pins表中值pin的内容，行号cc_number=1111222233334444

经尝试，输入>2363时是有效的，大于2364时是无效的，所以临界值是2364

3、XSS攻击

Phishing with XSS(跨站脚本钓鱼攻击)

关于一个页面中存在XSS漏洞时，他如何支持钓鱼攻击。

在文本框里面写一个钓鱼网站代码就可以了,这里我参考了蔡野同学的代码。

将代码粘过去后登录，成功。

Stored XSS Attacks

在message里面随便输入：

	<script>
	    alert("20145330");
	</script>

效果如图：

Reflected XSS Attacks

根据题意和提示在下面文本框中输入http://www.targetserver.com/search.asp?input=<script>alert("20145330");</script>

这个是通过写在url里面达到的效果，里面的脚本也可以改写成其他任意恶意的内容。

4、CSRF攻击

Cross SSite Request Forgery(CSRF)

题目要求在新建邮件里写入可以更改由题目要求的attack的src、menu的transferFunds数值参数：

<img src='attack?Screen=280&menu=900&transferFunds=5000' width='1' height='1'>

参数在页面下方可以查看，每个人的都不一样：

提交后在下面的Message List里面可以看刚刚发送的邮件：

CSRF Prompt By-Pass

与上一个题目类似，是通过邮件的方式进行恶意请求。

在message里写入内容为：

<iframe
    src="attack?Screen=273&menu=900&transferFunds=5000">
</iframe>
 
<iframe
    src="attack?Screen=273&menu=900&transferFunds=CONFIRM">
</iframe>

这里可以得知请求确认的模块里transferFunds参数的值：

完成情况：