# 20155337《网络对抗》Exp9 Web安全基础

20155337《网络对抗》Exp9 Web安全基础

实践目标

一、基础问题回答

1.实验后回答问题

• SQL注入攻击原理，如何防御

SQL注入攻击的本质是利用SQL语法，针对应用程序开发过程中的漏洞，从一个数据库获得未经授权的访问和直接检索

防御：采用sql语句预编译和绑定变量；严格检查参数的数据类型，使用安全函数；给用户信息加密

• 2.XSS攻击的原理，如何防御

是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚 本语言。XSS攻击的主要目的则是，想办法获取目标攻击网站的cookie，因为有了cookie相当于有了seesion，有了这些信息就可以在任意能接进互联网的pc登陆该网站，并以其他人的生份登陆，做一些破坏。

防御：当恶意代码值被作为某一标签的内容显示：在不需要html输入的地方对html 标签及一些特殊字符( ” < > & 等等 )做过滤，将其转化为不被浏览器解释执行的字符；当恶意代码被作为某一标签的属性显示，通过用 “将属性截断来开辟新的属性或恶意方法：属性本身存在的 单引号和双引号都需要进行转码；对用户输入的html 标签及标签属性做白名单过滤，也可以对一些存在漏洞的标签和属性进行专门过滤。

• 3.CSRF攻击原理，如何防御

原理：

防御：通过 referer、token 或者 验证码 来检测用户提交；尽量不要在页面的链接中暴露用户隐私信息；对于用户修改删除等操作最好都使用post 操作 ；避免全站通用的cookie，严格设置cookie的域。

二、实验内容

WebGoat

在终端中输入java -jar webgoat-container-7.0.1-war-exec.jar开启WebGoat。

当页面成功停在下图位置时，最小化终端窗口：

打开浏览器，在地址栏输入localhost:8080/WebGoat打开WebGoat，选择默认账号、密码即可登陆成功。

XSS攻击

1、Phishing with XSS 跨站脚本钓鱼攻击

跨站脚本攻击最大的魅力是通过HTML注入劫持用户的浏览器，任意构造用户当前浏览的HTML内容，甚至可以模拟用户当前的操作。这里实验的是一种获取用户名和密码的攻击

先编写一个包含用户名、密码的前端代码：

---

This feature requires account login:

Enter Username:

Enter Password:

---

然后在webgoat找到xss攻击打开Phishing with XSS（第一个）

将这段代码输入到输入框中，点击search出现如下登录框：

在登录框中输入用户名、密码：

点击登录后跳出弹框，其中包含用户输入的用户名、密码。攻击成功！

2、Stored XSS Attacks 存储型XSS攻击

存储型XSS的攻击基本流程:

a. 比如在某个论坛提供留言板功能，黑客在留言板内插入恶意的html或者Javascript代码，并且提交。
b. 网站后台程序将留言内容存储在数据中
c. 然后一个用户也访问这个论坛，并刷新了留言板，这时网站后台从数据库中读取了之前黑客的留言内容，并且直接插入在html页面中，这就可能导致了：黑客留言的脚本本身应该作为内容显示在留言板的，然后此时可能黑客的留言脚本被浏览器解释执行了。
那么黑客的脚本可以用来做哪些坏事儿呢？比如:

通过javascript获取用户的cookie，根据这个cookie窃取用户信息
重定向网站到一个钓鱼网站
重新更改页面内容，假装让客户输入用户名，密码，然后提交到黑客的服务器
打开Stored XSS Attacks（xxs攻击第二个）

在Message框中输入

点击提交后弹出对话框，显示I am 20155305qiaolei。攻击成功！

3、Reflected XSS Attacks 反射型XSS攻击

我们在访问一个网页的时候，在URL后面加上参数，服务器根据请求的参数值构造不同的HTML返回。
value可能出现在返回的HTML(可能是JS,HTML某元素的内容或者属性)中,
如果将value改成可以在浏览器中被解释执行的东西,就形成了反射型XSS.
有人会问，我怎么可能自己去把value改成可以执行的恶意代码呢?这不是自己坑自己吗.
但是一种情况是别人可能修改这个value值，然后将这个恶意的URL发送给你,或者别人,当URL地址被打开时,
特有的恶意代码参数被HTML解析,执行.它的特点是非持久化,必须用户点击带有特定参数的链接才能引起
打开xss的第三个攻击，在code框中输入

点击Purchase出现对话框，显示I am 20155305qiaolei。攻击成功！

CSRF攻击

跨站请求伪造，尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。
1、Cross Site Request Forgery(CSRF)

查看页面右边Parameters中的src和menu值。

在title框中输入学号，message框中输入代码：

提交后生成一个链接20155305：

点击学号名即可查看用户操作的信息，攻击成功

2、CSRF Prompt By-Pass

查看页面右边Parameters中的src和menu值，并在title框中输入学号，message框中输入代码：

提交后生成一个链接20155305：

点击学号名即可查看用户操作的信息，攻击成功

SQL注入攻击

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。
1、Numeric SQL Injection

我们看到这一题的选择框也是一个下拉框，在当前网页上无法修改，于是，我们使用BurpSuite抓包修改。

在Kali桌面上找到如下图标，打开BurpSuite：

在BurpSuite中依次选择Proxy->Options->Add添加一个端口，将绑定的端口设为5305，点击确认后会在Options下增加一行，勾选新形成的这一行：

点击浏览器右上方的更多选项卡，选择preference

在页面左侧选择advanced，选择network页标签，在connection那一行选择settings…

在弹出的窗口中设置代理服务器和端口（要与BurpSuite中绑定的一致）

设置好代理后回到题目页面，点击Go，然后进入BurpSuite中依次选择Proxy->Intercept，可以看到已经抓到了包：

右键选择send to repeater

进入repeater页标签，选择Params将其中station的值改为101 or 1=1，点击Go运行，查看右侧代码可以看到包中的SQL语句为

SELECT * FROM weather_data WHERE station = 101 or 1=1

回到Proxy中点击Intercept is on对剩下的包不作处理，回到火狐发现已经成功。

2、Command Injection

我们看到这一题的选择框是一个下拉框，在当前网页上无法修改，于是，我们使用BurpSuite抓包修改

在题目页面点击view，然后进入BurpSuite中，在repeater页标签的Params选项中先运行一次，查看数据都提交的位置：

然后修改HelpFile的值为AccessControlMatrix.help"&&ifconfig"，其中的双引号是为了封闭原语句中的双引号，&&在命令行中是执行另外一条语句的意思，点击GO发现执行了ifconfig语句

回到题目发现显示破解成功。

3、Log Spoofing

在User Name文本框中输入%0d%0aLogin succeeded !admin达到欺骗登录效果，破解成功：

4、LAB:SQL Injection(Stage 1:String SQL Injection)

使用一个新的工具firebug（浏览器右上方有一个小昆虫一样的标志），可以显示当前网页的源码并直接在其中修改。

使用用户Neville进行登录，在密码栏中输入' or 1=1 --进行SQL注入，本以为会成功，但是登录失败，查看源码发现输入框对输入的字符长度进行了限制，最多允许输入8个字符。

在查看源码的时候怎么找到限制字符长度的语句在哪里呢？在查看源码的窗口的顶部左边有一个鼠标一样的标志，点击它，再点击题目页面的password输入框的位置，源码部分就会自动跳转到关于密码的部分，缩小范围后就好找多了。

对长度maxlength值进行扩大（我直接改成了100，所谓多多益善嘛），然后在密码栏中再次输入' or 1=1 --，点击登录就成功了！在这里，千万要开着扩大后的源码页面点登陆login，它并不能保存，记住不要关掉你改过长度的网页代码页面，一关就没了，这点很致命。

5、LAB:SQL Injection(Stage 3:Numeric SQL Injection)

用上一题的方法成功登录

查看网页源码，选择查看viewprofile部分的代码，这时候可以看到一行用员工id作为索引来传送数据的代码，双击这行代码就可以出现value的值，因为我们想要用Larry的账户浏览老板信息，而大多数企业公司里老板的工资应该是最高的，所以我们就把其中的value值由101改为101 or 1=1 order by salary desc --，这样老板的信息就会被排到第一个让我们看到

可以看到老板应该就是Neville了，电话地址电邮工资卡等等信息一览无余。

6、String SQL Injection

在输入框中输入Smith进行尝试，观察下方形成的输入语句，可以看到输入的Smith在两个单引号之间：

构造永真式'or 1='1，第一个分号用来闭合原输入语句的前一个分号，而第二个分号用来闭合原输入语句的后一个分号，使这条语句被强行拆分成为两条语句。

这样一来，攻击就成功了，可以显示所有用户的信息了。

7、Database Backdoors

先输入示例101进行尝试，得到了该用户的信息。

观察发现输入的语句不进行验证，于是我们输入语句：101; update employee set salary=666666成功将该用户的工资变成666666，攻击成功：

下一步，输入语句

101 or 1=1;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='20155305@hackme.com' WHERE userid = NEW.userid
就可以了，表中一旦添加新用户那么就在用户表里将新用户的邮箱改为我设置的邮箱。

8、Blind Numeric SQL Injection

尝试题目中给出的例子，在输入框输入101，运行后发现返回Account number is valid，说明这个数是合法的！

`
构造输入语句101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 数值 );，根据返回的语句是否合法判断pin值的范围。

这里使用二分法，确实有些费时费力，需要从2000，3000，2500，2250，2375，2313，2344，2360，2368，2364......一直很有耐心的试下去，但是其实也不算慢呀感觉，最后确定值是2364，输入2364后破解成功：