EXP9 Web安全基础实践
基础问题回答
1.SQL注入攻击原理,如何防御?
原理:SQL注入是一种将SQL代码添加到输入参数中,传递到服务器解析并执行的一种攻击手法。SQL注入攻击是输入参数未经过滤,然后直接拼接到SQL语句当中解析,执行达到预想之外的一种行为,简单来说就是让应用运行本不应该运行的SQL代码。
防御:
1.对输入的数据进行过滤,过滤掉敏感字符。加密数据库。
2.在PHP配置文件中Register_globals=off;设置为关闭状态,作用将注册全局变量关闭。
3.提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,取不易被猜到的
4.开启PHP安全模式Safe_mode=on;
2.XSS攻击的原理,如何防御?
原理:攻击者利用网站漏洞,输入可以显示在页面上的、对其他用户造成影响的HTML代码;由于受害者浏览器对目标服务器的信任,当其访问目标服务器上被注入恶意脚本的页面后,这段恶意脚本可以顺利执行,实现获取用户cookie并可以利用用户身份进行非法操作的目的。
防御:
在服务器段限制输入格式,输入类型,输入长度以及输入字符
要注意避免使用一些有潜在危险的html标签,这些标签很容易嵌入一些恶意网页代码。
3.CSRF攻击原理,如何防御?
什么是CSRF:CSRF(Cross-site request forgery)跨站请求伪造,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。
原理:通过伪装来自受信任用户的请求来利用受信任的网站。是一种依赖web浏览器的、被混淆过的代理人攻击。
防御:用户在浏览其它站点前登出站点;在浏览器会话结束后清理浏览器的cookie;尽量不要在页面的链接中暴露用户隐私信息;避免全站通用的cookie,严格设置cookie的域。
实验准备
- 安装webgoat
1.打开的时候发现没有安装:
2.下载好后,将它放在home里,开启webgoat
3.当界面停留在上图所示时,最小化不要关闭。打开浏览器,输入localhost:8080/WebGoat
4.选择默认账号、密码即可登陆成功
- 火狐浏览器firebug
1.安装火狐浏览器(附上教程链接)
link
2.使用时,可以在页面需要修改的地方右键打开
完成列表
实验过程
Injection Flaws
1.Command Injection
在目标主机上执行系统命令.
- 在BackDoors.help旁边加上
"& netstat -an & ipconfig"
- .选中修改后的值再点view,可以看到命令被执行,出现系统网络连接情况
2.Numeric SQL Injection
注入SQL字符串,使其可以查看所有天气的数据。
利用firebug在任意一个值后面加上 or 1=1(永真)
点击GO,就能看到所有天气
3.Log Spoofing
我们输入的用户名会被追加到日志文件中
- 在User Name文本框中输入
xxx%0d%0aLogin Succeeded for username:admin,其中%0d是回车,%0a是换行符
- 攻击成功
4.XPATH Injection
要求使用帐户Mik/Test123,实现查看其他员工的数据
- 尝试构造永真式
user name:gjt' or 1=1 or 'a'='a
password:gjt- 成功
5.String SQL Injection
- 构造一个永真式“1”,那么不管前面的WHERE是否成立都能执行,所以构造语句'or 1='1,成功得到了全部的信用卡号
6.LAB: SQL Injection
Stage 1:String SQL Injection
使用String SQL注入来绕过身份验证
修改password的最大程度8→100
- 以用户Neville登录,在密码栏中输入' or 1=1 --永真式进行SQL注入
成功
Stage 3:Numeric SQL Injection
先使用上一题的办法登录进Larry的账户
- Boss的工资最高,所以把其中的value值改为
101 or 1=1 order by salary desc --,这样老板的信息就会被排到第一个
- 点击ViewProfile进去,即可查看老板的详细信息
7.Database Backdoors
输入注入语句:101; update employee set salary=10000,成功把该用户的工资涨到了10000
- 再使用语句
101;CREATE TRIGGER yqhBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='[email protected]' WHERE userid = NEW.userid创建一个后门,把表中所有的邮箱和用户ID都设为我的。
8.Blind Numeric SQL Injection
-构造输入语句
101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') >数值 );,根据返回的语句是否合法判断pin值的范围。
- 这里使用二分法,确实有些费时费力,需要从2000,3000,2500,2250,2375,2313,2344,2360,2368,2364......一直试下去,最后确定值是2364,输入2364后破解成功:
9.Blind String SQL Injection
- 1.输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) >'z' );进行猜解,发现结果为Account number is valid,账户有效。
猜测是否是大写字母
- 2.接下来依次猜测之后的字母
输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 2, 1) >'h' );最后确定用户名为Jill
Cross-Site Scripting (XSS)
1.Phishing with XSS
- 1.使用XSS和HTML插入制作一个钓鱼网站,将其输在search框中,代码如下:
输入后下拉网页,会有用户名和密码的框出现,随意输入用户名和密码
成功
2.Reflected XSS Attacks
- 我们将带有攻击性的URL作为输入源,比如
,就会弹出对话框
- 成功
3.Stored XSS Attacks
- 在信息框里输入
,点击提交之后,留言板上会出现这条信息的标题
- 点击标题链接,攻击成功
CSRF
1.Cross Site Request Forgery
在信息框内输入(这句话的意思是将Funds即金钱转到自己的账户里),点击提交之后可以看到信息
点击标题链接,攻击成功
2.CSRF Prompt By-Pass
- 在信息框输入
- 点击标题链接,攻击成功
3.CSRF Token By-Pass
- 在Title输入:gjt
- 在Message输入构造的代码
- 点击Submit,然后在Message List里点击“CSRF Token By-Pass Attack”,如下图所示:
实验心得与体会
量的积累可以导致质变,确实是这样,做第一个的时候还有点懵,做的多了慢慢就像打通了任督二脉,突然就懂了。XXS会利用站点内受信任的用户来盗取数据,而CSRF则通过伪装来自受信任用户的请求来利用网站。Besides,网络上所有的东西都是靠各种各样的代码运行起来的,SQL注入真的很机智啊,在此之前我从来不会想过,输入用户名的地方输入了奇奇怪怪的东西会出现意想不到的结果。还有就是使用firebug修改网页上的代码,因为无知,所以我觉得很多实验内容都很神奇。网络对抗课为我打开了新世界的大门,虽然这个学期很快就要结束了,但是路漫漫其修远兮,还有太多的东西需要了解、需要学习,想想还有点小激动。