其他分享
首页 > 其他分享> > Exp9 Web安全基础实践

Exp9 Web安全基础实践

作者:互联网

一、基础问题回答

1.SQL注入攻击原理,如何防御?
原理:利用未过滤/未审核用户输入的攻击方法,即让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。

防御:

2.XSS攻击的原理,如何防御?

原理:攻击者利用网站漏洞,输入可以显示在页面上的、对其他用户造成影响的HTML代码;由于受害者浏览器对目标服务器的信任,当其访问目标服务器上被注入恶意脚本的页面后,这段恶意脚本可以顺利执行,实现获取用户cookie并可以利用用户身份进行非法操作的目的。

防御:

3.CSRF攻击原理,如何防御?

什么是CSRF:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

原理:通过伪装来自受信任用户的请求来利用受信任的网站。是一种依赖web浏览器的、被混淆过的代理人攻击。

防御:用户在浏览其它站点前登出站点;在浏览器会话结束后清理浏览器的cookie;尽量不要在页面的链接中暴露用户隐私信息;避免全站通用的cookie,严格设置cookie的域。

二、实践过程记录

2.1 webgoat

开启webgoat

1.输入java -jar webgoat-container-7.1-exec.jar执行webgoat

2.当界面停留在下图所示时,最小化。

 

3.打开浏览器,输入localhost:8080/WebGoat,选择默认账号、密码即可登陆成功

 

 

完成学习情况

 

2.2 SQL练习

命令注入(Command Injection)

1.打开Command Injection

2.在Command Injection页面上右键,点击inspect Element,在BackDoors.help旁边加上"& netstat -an & ipconfig"

3.选中修改后的值再点view,可以看到命令被执行,出现系统网络连接情况:

 

数字型SQL注入(Numeric SQL Injection)

1.找到Numeric SQL Injection

这个题大概意思是这个表单允许使用者看到天气数据,利用SQL注入使得可以看见所有数据。

2.在Numeric SQL Injection页面上右键,点击inspect Element

3.在inspector下添加代码or 1=1构成永真式

4.点击GO,发现成功了

日志欺骗(Log Spoofing)

1.找到Log Spoofing

这道题大概意思是说,我们输入的用户名会被追加到日志文件中。

2.在User Name文本框中输入hxm%0d%0aLogin Succeeded for username: admin,其中%0d是回车,%0a是换行符:

3.攻击成功

 

XPATH Injection

题目要求是使用帐户Mik/Test123,目标是试着去查看其他员工的数据。

1.和上面一样,尝试构造永真式 user name:hxm' or 1=1 or 'a'='apassword:hxm

 

2.成功

 

LAB: SQL Injection

Stage 1:String SQL Injection

使用String SQL注入来绕过身份验证。

1.以用户Neville登录,在密码栏中输入' or 1=1 --永真式进行SQL注入,但是发现登录失败。

2.查看发现password的最大长度为8,将其修改为100

3.再次登录,成功

 

Stage 3:Numeric SQL Injection

该题目的目的是通过注入语句,浏览到原本无法浏览的信息。绕过认证执行SQL注入,通过一个普通员工的账户larry,浏览其BOSS的账户信息。

1.我们先使用上一题的办法登录进Larry的账户。 刷新了网页需要重新修改最大字符长度

2.老板的薪水应该是最高的,所以把其中的value值改为101 or 1=1 order by salary desc --,这样老板的信息就会被排到第一个

3.点击ViewProfile进去,即可查看老板的详细信息

 

SQL字符串注入(String SQL Injection)

1.进入webgoat后,选择String SQL Injection

题目大意是:这个表单允许使用者查询他们的信用卡号,使用SQL注入让所有的信用卡号都看得见。

2.注入一个SQL字符串,以显示所有信用卡号码。尝试使用'Snow'的用户名。

3.我们构造一个永真式“1”,那么不管前面的WHERE是否成立都能执行,所以构造语句'or 1='1,成功得到了全部的信用卡号。

 

Database Backdoors

1.输入注入语句:101; update employee set salary=10000,成功把该用户的工资涨到了10000。随意涨工资感觉不能太棒!

2.接下来使用语句 101;CREATE TRIGGER yqhBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='20154322@qq.com' WHERE userid = NEW.userid 创建一个后门,把表中所有的邮箱和用户ID都设为我的。所有人的工资都邮到我这里~

 

数字盲注(Blind Numeric SQL Injection)

题目中说明了下面的表单允许用户输入帐号并确定它是否有效,即返回值只有账户有效或无效两种。

1.先输入101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 2000);,结果是 Account number is valid.账户有效,再试试

2.再输入101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 2500 );,结果是 Invalid account number.,账户无效。也就是说,我们要找的数在2000~2500之间

3.利用二分法,多次尝试,找到数字为2364

盲字符串注入(Blind String SQL Injection)

和上一题一样,只是由猜数字变成猜字符方法类似,难度加深

1.输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) >'A' );进行猜解,发现结果为Account number is valid,账户有效。

再往大写的字母猜测,最终确定首字母为J

2.接下来猜第二个字母

输入101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 2, 1) >'h' );发现结果为Account number is valid,账户有效。

最后确定第二个字母为i

3.这样一步步尝试,最后确定用户名为Jill

 

2.3 Cross-Site Scripting (XSS)

跨站脚本钓鱼攻击(Phishing with XSS)

题目要求是关于一个页面中存在XSS漏洞时,他如何支持钓鱼攻击。要求我们利用xss和html注入达到这些目标。

1.使用XSS和HTML插入制作一个钓鱼网站,将其输在search框中。

2.输入后下拉网页,会有用户名和密码的框出现,随意输入用户名和密码

3.成功

 

反射型XSS(Reflected XSS Attacks)

1.当我们输入错误的用户信息后,服务器校验输入有误,会返回错误页面并将错误内容展示给我们看:

2.如果我们将带有攻击性的URL作为输入源,比如<script>alert("23320164308hxm");</script>,就会弹出对话框

3.攻击成功

 

存储型xss(Stored XSS Attacks)

1.题目的意思是我们要在信息中添加一个html的标签。 那就在信息框里写一句<script>alert("hxm");</script>,然后点击提交之后,留言板上会出现这条信息的标题

2.点进去会弹出如下的框,攻击成功

 

2.4 CSRF

Cross Site Request Forgery(CSRF)

要求:需要写一个URL诱使其他用户点击,从而触发CSRF攻击. 我们可以以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件。

1.查看自己电脑的Screen和menu的值

2.在信息框内输入< img src="http://localhost:8080/WebGoat/attack?Screen=2078372&menu=900&transferFunds=1000000"/>(这句话的意思是将Funds即金钱转到自己的账户里),点击提交之后可以看到信息

3.点进去后,盗取钱财,攻击成功

 

CSRF Prompt By-Pass

和上一个类似,发个邮件给newsgrooup,包含两个恶意请求:一个是转钱的金额,另一个是确认转账。

1.首先还是查看电脑的Screen和menu的值

2.在信息框输入

点击提交后可看到

3.点进去,发现攻击成功

 

三、实验心得体会

这次实验是步骤最多的一次,也算是尝试了很多内容。开学时老师也说过,网络攻防的实验就是凭自己的兴趣探索的过程,就这样周复一周的探索,在遇到了各种各样的bug的鸡飞狗跳中,居然这就是最后一个实验了,还是有点不舍的。这门课上下来还是很充实的,自学也好,参考学长学姐和同学的也好,还是学习了不少东西!

标签:Web,Exp9,XSS,实践,用户,CSRF,SQL,Injection,输入
来源: https://www.cnblogs.com/1006xm/p/10926256.html