zoukankan      html  css  js  c++  java
  • 20145330 《网络对抗》 Web安全基础实践

    20145330 《网络对抗》 Web安全基础实践

    1.实验后回答问题

    (1)SQL注入攻击原理,如何防御

    • SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

    • SQL注入攻击是黑客对数据库进行攻击的常用手段之一。

    • SQL注入攻击指的是就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

    • 防御:

      • 1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,双"-"进行转换等。

      • 2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

      • 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。

      • 4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。

    (2)XSS攻击的原理,如何防御

    • XSS攻击:跨站脚本攻击。
    • XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略。
    • 防御:
      • 基于特征的防御 :
        • 传统XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击,采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索,一旦发现提交信息中包含“javascript”,就认定为XSS攻击。
      • 基于代码修改的防御:
        • 步骤1、对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。

        • 步骤2、实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行。

        • 步骤3、确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag(没有javascript),去掉任何对远程内容的引用(尤其是样式表和javascript),使用HTTP only的cookie。

    (3)CSRF攻击原理,如何防御

    • CSRF即跨站请求伪造。借用用户的身份,向web server发送请求,因为该请求不是用户本意,所以称为“跨站请求伪造”。

    • CSRF一般的攻击过程是,攻击者向目标网站注入一个恶意的CSRF攻击URL地址(跨站url),当(登录)用户访问某特定网页时,如果用户点击了该URL,那么攻击就触发了。

    • 防御

      • referer

        • 因为伪造的请求一般是从第三方网站发起的,所以第一个防御方法就是判断 referer 头,如果不是来自本网站的请求,就判定为CSRF攻击。但是该方法只能防御跨站的csrf攻击,不能防御同站的csrf攻击(虽然同站的csrf更难)。
      • 使用验证码

        • 每一个重要的post提交页面,使用一个验证码,因为第三方网站是无法获得验证码的。还有使用手机验证码,比如转账是使用的手机验证码。
      • 使用token

        • 每一个网页包含一个web server产生的token, 提交时,也将该token提交到服务器,服务器进行判断,如果token不对,就判定位CSRF攻击。

        • 将敏感操作又get改为post,然后在表单中使用token. 尽量使用post也有利于防御CSRF攻击。

    2.实验总结与体会

    通过每个具体的练习来体会各个攻击的作用,我觉得还是很有意思的。但是英文页面确实对我来说不算很友好啊。。。

    3.实践过程记录

    1、webgoat开启:

    页面会停在最后一行(INFO:)

    2、SQL注入攻击:

    SQL字符串注入(String SQL Injection)

    题目要求尝试使用SQL注入,使得所有银行卡都可以被展现。

    首先按题目尝试输入Smith,发现查询出来都是last_name是Smith的表单,分析后知道是需要WHERE这个条件语句失效,构造语句'or 1='1
    第一个分号用来闭合last_name的第一个分号,而第二个分号用来闭合last_name的第二个分号。将一条语句被强行拆分成为两条语句。

    Log Spoofing

    题目要求伪造一个username使成功登陆。

    在用户名处通过使用%0d%0a(回车换行)以及文字内容输入来迷惑。

    • LAB SQL Injection

    Stage 1 String SQL Injection

    字符串型注入,要求使用SQL注入绕过认证,实现无密码登陆。

    在密码栏输入' or 1 = 1 --,发现根本输不了这么长,查看源代码,原来最长只能输入8位,把长度限定改为15,把文本框格式改为text。

    再次输入' or 1 = 1 --

    Stage 3 Numeric SQL Injection

    数字型注入,要求使用一个普通员工的账户,浏览其BOSS的账户信息。

    首先通过Larry的账户登陆(密码为larry),更改登录后页面源代码value值为112 or 1=1 order by salary desc

    点击ViewProfile查看信息

    Blind Numeric SQL Injection

    盲数字注入,目标是得到一个存放在pins表中值pin的内容,行号cc_number=1111222233334444

    经尝试,输入>2363时是有效的,大于2364时是无效的,所以临界值是2364

    3、XSS攻击

    Phishing with XSS(跨站脚本钓鱼攻击)

    关于一个页面中存在XSS漏洞时,他如何支持钓鱼攻击。

    在文本框里面写一个钓鱼网站代码就可以了,这里我参考了蔡野同学的代码。

    将代码粘过去后登录,成功。

    Stored XSS Attacks

    在message里面随便输入:

    
    	<script>
    	    alert("20145330");
    	</script>
    
    

    效果如图:

    Reflected XSS Attacks

    根据题意和提示在下面文本框中输入http://www.targetserver.com/search.asp?input=<script>alert("20145330");</script>

    这个是通过写在url里面达到的效果,里面的脚本也可以改写成其他任意恶意的内容。

    4、CSRF攻击

    Cross SSite Request Forgery(CSRF)

    题目要求在新建邮件里写入可以更改由题目要求的attack的src、menu的transferFunds数值参数:

    <img src='attack?Screen=280&menu=900&transferFunds=5000' width='1' height='1'>

    参数在页面下方可以查看,每个人的都不一样:

    提交后在下面的Message List里面可以看刚刚发送的邮件:

    CSRF Prompt By-Pass

    与上一个题目类似,是通过邮件的方式进行恶意请求。

    在message里写入内容为:

    <iframe
        src="attack?Screen=273&menu=900&transferFunds=5000">
    </iframe>
     
    <iframe
        src="attack?Screen=273&menu=900&transferFunds=CONFIRM">
    </iframe>
    

    这里可以得知请求确认的模块里transferFunds参数的值:

    完成情况:

  • 相关阅读:
    解决:导出excel身份证号码显示为科学计数法
    6个出色的基于JQuery的Tab选项卡实例2010/01/29 16:261. jQuery 选项卡界面 / 选项卡结构菜单教程
    dhl:禁用firefox缓存
    artDialog4.0.5
    dhl:解除ASP.NET上传文件大小限制
    dhl:样式在ie不同浏览器下呈现不出来的原因分析
    dhl:artDialog 3.0.4 跨框架下 穿越的问题
    jQuery 1.7 正式版已经可以下载使用。jQuery是一个JavaScript库,它简化了HTML文档遍历,事件处理,动画和为网络快速发展的Ajax交互。jQuery 1.7 版本加入了新的事件API .on() 和 .off(),提
    无法向会话状态服务器发出会话状态请求。请确保 ASP.NET State Service (ASP.NET 状态服务)已启动,并且客户端端口与服务器端口相同。
    专家视角看IT与架构
  • 原文地址:https://www.cnblogs.com/20145330swx/p/6842783.html
Copyright © 2011-2022 走看看