Exp9 Web安全基础

基础问题回答：

1. sql注入攻击原理，如何防御？

   • sql注入攻击就是通过把sql命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意sql命令的目的。

   • 对于sql注入攻击的防范，我觉得主要还是应该从代码上入手：
     • 采用预编译语句集PreparedStatement，它内置了处理sql注入的能力，只要使用它的setXXX方法传值即可。它的原理就是sql注入只对sql语句的准备(编译)过程有破坏作用，而PreparedStatement已经准备好了，执行阶段只是把输入串作为数据处理，而不再对sql语句进行解析准备，因此也就避免了sql注入问题；
     • 使用正则表达式过滤传入的参数，对一些包含sql注入的关键字进行过滤；
     • 采用字符串过滤的方法；
     • JSP中调用该函数检查是否包含非法字符，防止sql从URL注入。

2. XSS攻击的原理，如何防御？

   • XSS是代码注入的一种，它允许恶意用户将代码注入到网页上，并能够被浏览器成功的执行，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。XSS攻击的主要目的是，想办法获取目标攻击网站的cookie，因为有了cookie相当于有了seesion，有了这些信息就可以在任意能接进互联网的pc登陆该网站，并以其他人的身份登陆，做一些破坏。
   • XSS的防御可以从以下两方面来进行：
     • 一种方法是在表单提交或者url参数传递前，对需要的参数进行过滤；
     • 检查用户输入的内容中是否有非法内容，如尖括号、引号等，严格控制输出。

3.CSRF攻击原理，如何防御？

• 我们知道XSS是跨站脚本攻击，就是在用户的浏览器中执行攻击者的脚本，来获得其cookie等信息。而CSRF是借用用户的身份，向web server发送请求，因为该请求不是用户本意，所以称为“跨站请求伪造”。
• 对于CSRF的防御也可以从以下几个方面入手：
  • 通过referer、token或者验证码来检测用户提交；
  • 尽量不要在页面的链接中暴露用户隐私信息，对于用户修改删除等操作最好都使用post操作；
  • 避免全站通用的cookie，严格设置cookie的域。

实验步骤：

一、WebGoat配置

进入https://github.com/WebGoat/WebGoat/releases/tag/7.0.1网站

下载 webgoat-container-7.0.1-war-exec.jar 

输入 java -jar webgoat-container-7.0.1-war-exec.jar 安装jar包

看到上图红框中信息后打开浏览器登陆 http://localhost:8080/WebGoat 网站。

 二、sql注入攻击（Injection Flaws）

 1.命令注入（Command Injection）

• 选择 Injection Flaws -> Command Injection
  右键页面中复选框，选择inspect Element审查网页元素对源代码进行修改，在末尾添加"& netstat -an"
• 点击 view，看到网络端口使用情况和 IP 地址，攻击成功

2.日志欺骗（Log Spoofing）

• • 选择 Injection Flaws -> Log Spoofing
  • 在User Name中输入js%0d%0aLogin Succeeded for username: admin利用0D%(回车)和%0A(换行)让其在日志中显示两行
  • 输入任意密码后点击 Login，成功将用户名追加到日志文件中。

3.sql 注入（LAB: sql Injection）

stage 1：String sql injection

• • 选择 Injection Flaws -> String sql Injection，右键页面将password密码框，选择inspect Element审查网页元素对源代码进行修改，将其最大长度限制改为20

• • 以用户Neville登录，输入密码Smith‘ or ‘1‘ = ‘1
  • 攻击成功，得到所有人员列表

4.盲数字sql注入（Blind Numeric sql Injection）

• 服务端页面返回的信息有两种：帐号有效，账号无效，因此无法简单地查询到帐号的 PIN 数值。但可以利用系统后台在用的查询语句SELECT * FROM user_data WHERE userid=accountNumber;
  如果返回了帐号的信息，页面将提示帐号有效，否则提示无效。
• 输入101 AND 1=1 页面返回帐号有效

• • 输入101 AND 1=2 第二个条件不成立，页面返回帐号无效

• • 输入101 AND ((SELECT pin FROM pins WHERE cc_number=‘1111222233334444‘) > 10000 );页面返回帐号无效，说明PIN<=10000

• • 多次尝试输入，输入2364为正确PIN值

二、XSS攻击

1.存储型XSS攻击（Stored XSS Attacks）

• • 在title中任意输入字符，留言板中输入<script>alert("js4303");</script>

2.反射型XSS攻击（Reflected XSS Attacks）

• • 输入代码<script>alert("js4303");</script>点击purchase的同时页面就给出了反馈

三、CSRF攻击

1.跨站请求伪造（Cross Site Request Forgery (CSRF)）

• • 查看页面右侧Parameters中的src和menu值，分别为321和900

  • 

     

  • 在title中输入任何参数，message框中输入

<img src="http://localhost:8080/WebGoat/attack?Screen=321&menu=900&transferFunds=5000"/>

• • 点击 Submit （其中语句中的&transferFunds=5000，即转走的受害人的金额；宽高设置成1像素的目的是隐藏该图片）

  • 

     

    
    

     

2.绕过 CSRF 确认（ CSRF Prompt By‐Pass

）

• • 查看页面右侧Parameters中的src和menu值分别为279和900

  • 

     

  • 在title框中输入学号，message框中输入代码：
  • <ifmae src="attack?Screen=279&menu=900&transferFunds=5000"></iframe>

    <ifmae src="attack?Screen=279&menu=900&transferFunds=CONFIRM"></iframe>

    　　

    

     

     

    点击链接，攻击成功

 实验感想：

这次实验难度不高，但项目比较多，因此也花费了不少时间。终于做完了最后一个实验，有点小开心，尽管说实话自己也觉得做得不怎么样，验收从没有去过，现场的确做不出来，一般要花费好几天才能搞定，因此从来没敢去验收。但将基础的东西完整地做完，我觉得自己的收获也不少。尽管过程很痛苦，但现在想起来还是挺好的。