2018-2019-2 网络对抗技术 20165206 Exp 9 Web安全基础

- 2018-2019-2 网络对抗技术 20165206 Exp 9 Web安全基础

- 实验任务

本实践的目标理解常用网络攻击技术的基本原理，做不少于7个题目，共3.5分。包括(SQL,XSS,CSRF)。Webgoat实践下相关实验。

- 基础问题回答

（1）SQL注入攻击原理，如何防御
答：
攻击原理：在用户名、密码输入框中输入一些类似',--,#的特殊字符，这些字符提交到后台数据库会与SQL语句拼接，从而实现引号闭合、注释部分SQL语句的目的，构成永真式，进而实现登录、显示信息等目的。
防御：可以在后台控制输入的长度，禁止用户输入例如 -- 、' 这类的特殊符号。

（2）XSS攻击的原理，如何防御
答：
攻击原理：攻击者在Web页面里插入恶意html标签或者javascript代码，当用户浏览该页或者进行某些操作时，诱骗用户或浏览器执行一些不安全操作。
防御：用户在浏览网页时，时刻注意，在填写类似用户名密码等信息时提高警惕。同时，网页编写时，过滤一些特殊字符如 ” < > & 等 ，将其转化为不被浏览器解释执行的字符。

（3）CSRF攻击原理，如何防御
答：
攻击原理：CSRF就是冒名登录。攻击者的目的是窃取用户的Session,或者说Cookie,因为目前主流情况Session都是存在Cookie中。一旦用户进行了登录,Session就是用户的唯一凭证,攻击者得到Session后,就可以伪装成被害者进入服务器。
防御：定期清理cookie，不让浏览器记住密码，每次都手动输入。

- 实验过程

- WebGoat准备

• 下载webgoat-container-7.0.1-war-exec.jar文件

• 在含有该文件的目录下使用命令java -jar webgoat-container-7.0.1-war-exec.jar运行Webgoat，出现信息: Starting ProtocolHandler ["http-bio-8080"]说明开启成功，实验过程中不能关闭终端。
  

• 在浏览器中输入http://localhost:8080/WebGoat进入WebGoat登录界面,直接用默认用户名密码guest登录即可
  

- XSS攻击

- Phishing with XSS 跨站脚本钓鱼攻击

• 在webgoat找到Cross-Site Scripting （xss）攻击打开第一个——Phishing with XSS
  将下面这段代码输入到Search:输入框中，点击search

---

This feature requires account login:

Enter Username:

Enter Password:

---

结果会出现代码中所指定的黄、橙、灰三块div，并在下方出现了用于欺骗用户的提示语“This feature requires account login:”和用户名、密码输入框。

• 在登录框中输入用户名20165206，密码123456，点击登录后，会像代码中alert提示的，显示被窃取的用户名和密码。
  

- Stored XSS Attacks 存储型XSS攻击

• 打开Cross-Site Scripting （xss）攻击中的第二个：Stored XSS Attacks
  在Message框中输入代码,Title为20165206test，并点击submit。