20155206《網絡對抗》Web安全基礎實踐

20155206《網絡對抗》Web安全基礎實踐

實驗後問題回答

（1）SQL注入攻擊原理，如何防護
攻擊原理：SQL注入攻擊就是經過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意SQL命令的目的
防護手段：利用輸入規則限制進行防護，不容許特殊字符輸入

（2）XSS攻擊的原理，如何防護
攻擊原理：跨站腳本攻擊，容許惡意用戶將惡意Script代碼注入到網頁上，當用戶瀏覽網頁時，嵌入其中Web裏面的Script代碼會被執行，從而被攻擊，其餘用戶在觀看網頁時就會受到影響。XSS攻擊的主要目的是，想辦法獲取目標攻擊網站的cookie，由於有了cookie至關於有了seesion，有了這些信息就能夠在任意能接進互聯網的pc登錄該網站，並以其餘人的身份登錄，作一些破壞。
防護手段：過濾特徵字符，限制用戶輸入，拒絕網頁的可執行代碼輸入。

（3）CSRF攻擊原理，如何防護

攻擊原理：CSRF跨站請求僞造，也被稱爲「oneclickattack」或者sessionriding，一般縮寫爲CSRF或者XSRF，是一種對網站的惡意利用，經過假裝來自受信任用戶的請求來利用受信任的網站。是一種依賴web瀏覽器的、被混淆過的代理人攻擊。
防護手段：經過referer、token或者驗證碼來檢測用戶提交在form中包含祕密信息、用戶指定的代號做爲cookie以外的驗證、按期清理保存的cookie

實驗過程

、 在終端中輸入java -jar webgoat-container-7.0.1-war-exec.jar開啓WebGoat。

、打開瀏覽器，在地址欄輸入localhost:8080/WebGoat打開WebGoat，選擇默認帳號、密碼便可登錄成功。

XSS攻擊

一、Phishing with XSS 跨站腳本釣魚攻擊

、跨站腳本攻擊最大的魅力是經過HTML注入劫持用戶的瀏覽器，任意構造用戶當前瀏覽的HTML內容，甚至能夠模擬用戶當前的操做。實驗的是一種獲取用戶名和密碼的攻擊

、 在webgoat找到xss攻擊打開Phishing with XSS

、 編寫一個包含用戶名、密碼的前端代碼：
`