zoukankan      html  css  js  c++  java

  • Exp9 Web安全基础实践

    一、基础问题回答

    1. SQL注入攻击原理,如何防御?

    • SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。
    • 对于SQL注入攻击的防范,主要还是从代码上入手:
    1. 采用预编译语句集PreparedStatement,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。它的原理就是sql注入只对sql语句的准备(编译)过程有破坏作用,而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,而不再对sql语句进行解析准备,因此也就避免了sql注入问题;
    2. 使用正则表达式过滤传入的参数,对一些包含sql注入的关键字进行过滤;
    3. 采用字符串过滤的方法;
    4. jsp中调用该函数检查是否包含非法字符,防止SQL从URL注入。

    2. XSS攻击的原理,如何防御?

    • SS是代码注入的一种,它允许恶意用户将代码注入到网页上,并能够被浏览器成功的执行,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。XSS攻击的主要目的是,想办法获取目标攻击网站的cookie,因为有了cookie相当于有了seesion,有了这些信息就可以在任意能接进互联网的pc登陆该网站,并以其他人的身份登陆,做一些破坏。
    • 防御可以从以下两个方面进行:
    1. 在表单提交或者URL参数传递前就对其参数进行过滤
    2. 检查用户输入的内容中是否有非法的内容,例如尖括号、引号等之类的字符,严格控制输出。

    3. CSRF攻击原理,如何防御?

    • 我们知道XSS是跨站脚本攻击,就是在用户的浏览器中执行攻击者的脚本,来获得其cookie等信息。而CSRF是借用用户的身份,向web server发送请求,因为该请求不是用户本意,所以称为“跨站请求伪造”。
    • 对CSSRF的防御可以从一下几个方面进行;
    1. 通过referer、token或者验证码来检测用户提交;
    2. 尽量不要在页面的链接中暴露用户隐私信息,对于用户修改删除等操作最好都使用post操作;
    3. 避免全站通用的cookie,严格设置cookie的域。

    二、实践内容

    1. 关于WebGoat

    • WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,目前提供的训练课程有很多,包含了XSS、线程安全、SQL注入等,我们本次的实验就是在WebGoat平台上进行。
    1. WebGoat分为简单版和开发板,简单版是个Java的Jar包,只需要有Java环境即可,我们在命令行里执行:java -jar webgoat-container-7.0.1-war-exec.jar运行WebGoat:
    1. 打开后会发现自己的虚拟机中没有安装,我使用的是杨正晖分享的WebGoat7.1下载好后,将它放入home中,再次输入java -jar webgoat-server-7.1-exec.jar(因为下载的是7.1的版本,因此命令中的版本号需要重新改一下)
    1. 打开浏览器,输入localhost:8080/WebGoat
    1. 选择默认账号、密码即可登陆成功

    2. SQL练习

    Numeric SQL Injection

    • 原理是这里有一个SQL语句
    • SELECT * FROM weather_data WHERE station = [station]
    • 可以拦截报文将station字段后补充成一个永真式101 OR 1=1
    • 可以使用kail上自带的火狐开发人员的调试工具将文本框打开。
    • 将原语句修改为:SELECT * FROM weather_data WHERE station = 101 OR 1=1
    • 由于1=1恒成立,点击go,看到所有城市的天气,成功。

    Log Spoofing

    • 日志伪造,目的是通过注入恶意字符串,按照规则伪造出一条日志,在Username输入
    • zh%0d%0aLogin Succeeded for username: admin
    • 其中%0d和%0a为CRLF换行符,看到的输出为
    • 第二行就是我们刚刚伪造出来的

    XPATH Injection

    • 题干的意思为你的账号及密码为Mike/test123。你的目标是尝试查看其他员工的数据。
    • 还是需要构建永真式
    • cc' or 1=1 or 'a'='a

    String SQL Injection

    • 字符注入,这里和前面数字注入的方法差不多,构造一个永真式,还是用的之前的'or 1='1
    • 'cc' OR '1'='1
    • SELECT * FROM user_data WHERE last_name = 'cc' OR '1'='1'

    LAB: SQL Injection

    Stage 1:String SQL Injection

    • 使用String SQL注入来绕过身份验证。
    • 以用户Neville登录,在密码栏中输入' or 1=1 --永真式进行SQL注入,但是发现登录失败。发现password的最大长度为8,更改最大长度,将其改为100

    • 再次登录,成功
  • 相关阅读:
    Hdu 4496 D-City
    Hdu 1213 How Many Tables
    T1387:搭配购买(buy)
    codevs 2597 团伙
    Hdu 1232 畅通工程
    RQNOJ PID331 家族
    提高组day4
    xjoi2018提高组训训练25
    关于upp和lower
    矩阵快速幂求fib
  • 原文地址:https://www.cnblogs.com/Quin/p/9108534.html
Copyright © 2011-2022 走看看