2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

实践过程记录

  • 下载wegot并配置好java环境后

  • 输入java -jar webgoat-container-7.0-SNAPSHOT-war-exec.jar
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第1张图片

  • 在浏览器输入localhost:8080/WebGoat,进入WebGoat开始实验
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第2张图片

目录

  • 1.Phishing with XSS (网路钓鱼)

  • 2.Stored XSS Attacks

  • 3.Reflected XSS Attacks

  • 4.Cross Site Request Forgery(CSRF)

  • 5.CSRF Prompt By-Pass

  • 6.Command Injection

  • 7.Numeric SQL Injection

  • 8.Log Spoofing

  • 9.String SQL Injection

  • 10.Database Backdoors

XSS攻击

1.Phishing with XSS (网路钓鱼)

  • 在搜索框中输入XSS攻击代码,利用XSS可以在已存在的页面中进一步添加元素的特点。我们先创建一个form,让受害人在我们创建的form中填写用户名和密码,再添加一段JavaScript代码,读取受害人输入的用户名和密码,完整的XSS攻击代码如下:





This feature requires account login:



Enter Username:

Enter Password:




  • 在搜索框中输入攻击代码后点击搜索,会看到一个要求输入用户名密码的表单
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第3张图片

  • 输入用户名密码,点击登录,WebGoat会将你输入的信息捕获并反馈给你
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第4张图片

2.Stored XSS Attacks

  • 创建非法的消息内容,可以导致其他用户访问时载入非预期的页面或内容,输入标题,然后在message中输入一串代码,比如
  • 提交后,再次点击刚刚创建的帖子,成功弹出窗口,说明攻击成功
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第5张图片

3.Reflected XSS Attacks

  • 反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。

  • 我们将带有攻击性的URL作为输入源,例如依旧输入,就会弹出对话框
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第6张图片

CSRF攻击

4.Cross Site Request Forgery(CSRF)

  • 查看页面右边Parameters中的src和menu值。
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第7张图片

  • 我们在message框中输入这样一串代码
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第8张图片

  • 显示攻击成功

5.CSRF Prompt By-Pass

  • message框中输入代码,转走金额5230

  • 转出成功
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第9张图片

Sql注入攻击

6.Command Injection

  • 这个题是要求能够在目标主机上执行系统命令,我们可以通过火狐浏览器下的一个扩展Firebug(就是右上角的小虫的标志)对源代码进行修改,若无Firebug,可在火狐浏览器添加工具中下载、安装、添加。例如在BackDoors.help旁边加上"& netstat -an & ipconfig"
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第10张图片

  • 选中修改后的值再点view,可以看到命令被执行,出现系统网络连接情况:
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第11张图片

7.Numeric SQL Injection

  • 通过注入SQL字符串的方式查看所有的天气数据,加上一个1=1这种永真式即可达到我们的目的,利用firebug,在任意一个值比如101旁边加上or 1=1
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第12张图片

  • 选中Columbia,点Go,可以看到所有天气数据:
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第13张图片

8.Log Spoofing

  • 我们输入的用户名会被追加到日志文件中,所以我们可以使用障眼法来使用户名为admin的用户在日志中显示“成功登录”,在User Name文本框中输入20155230%0d%0aLogin Succeeded for username: admin,其中%0d是回车,%0a是换行符:
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第14张图片

  • 攻击成功

9.String SQL Injection

  • 构造SQL注入字符串,在文本框中输入' or 1=1 --:

  • 点击GO,可以查看到所以信息:
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第15张图片

10.Database Backdoors

  • 先输一个101,得到了该用户的信息:
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第16张图片

  • 可以发现输入的语句没有验证,很容易进行SQL注入,输入注入语句: 101; update employee set salary=5230 ,成功把该用户的工调整到了5230
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第17张图片

  • 接下来使用语句 101;CREATE TRIGGER lxBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='[email protected]' WHERE userid = NEW.userid 创建一个后门,把表中所有的邮箱和用户ID都改写:
    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础_第18张图片


实验后回答问题

  • SQL注入攻击原理,如何防御
    • SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。
    • 防御措施
      • 普通用户与系统管理员用户的权限要有严格的区分。
      • 强迫使用参数化语句。
      • 加强对用户输入的验证。
  • XSS攻击的原理,如何防御
    • XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器
      执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列
      表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等。
    • 防御措施
      • 过滤用户输入的检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。严格控制输出
  • CSRF攻击原理,如何防御
    • 跨站请求伪造,盗用身份发送恶意请求。
    • 防御措施
      • 验证 HTTP Referer 字段
      • 在请求地址中添加 token 并验证

实验总结与体会

  • 学习到了很多攻击类型,更加深入的了解很多。但是这个软件是英文版本,用起来挺费劲的。

  • 在学习sql注入时看源码看的怀疑人生,字是真的有点小,还不知道怎么放大。。。但是在看代码的同时也算是复习了上学期的Web知识。也深深领会到了代码质量的重要性。对XSS和CRSF也有了一定的认识!

你可能感兴趣的:(2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础)