2019-2020-2 网络对抗技术 20175224 Exp9 Web安全基础

② Stored XSS Attacks 存储型XSS攻击

1、比如在某个论坛提供留言板功能，黑客在留言板内插入恶意的html或者Javascript代码，并且提交。
2、网站后台程序将留言内容存储在数据中
3、然后一个用户也访问这个论坛，并刷新了留言板，这时网站后台从数据库中读取了之前黑客的留言内容，并且直接插入在html页面中，这就可能导致：黑客留言的脚本本身应该作为内容显示在留言板的，但此时黑客的留言脚本被浏览器解释执行。

黑客的脚本可以用来做如下所述的攻击:

1.通过javascript获取用户的cookie，根据这个cookie窃取用户信息
2.重定向网站到一个钓鱼网站
3.重新更改页面内容，假装让客户输入用户名，密码，然后提交到黑客的服务器

• 打开Cross-Site Scripting （xss）攻击中的第二个：Stored XSS Attacks

• 在Message框中输入以下代码,并点击submit，Title随便输入

•  
      
        
   
  "float:left;height:100px;width:50%;background-color:yellow;">
              
  "float:left;height:100px;width:50%;background-color:orange;">
   
       
   
  "background-color:grey;height:200px;clear:both;">
    
  

• 查看页面下方Parameters中的src和menu值，分别为311和900
• 在message框中输入

"http://localhost:8080/WebGoat/attack?Screen=311&menu=900&transferFunds=5000" width="1" height="1" />

• 
• 以图片的的形式将URL放进Message框，这时的URL对其他用户是不可见的，用户一旦点击图片，就会触发一个CSRF事件，点击Submit提交

• 提交后，在Message List中生成以Title命名的链接（消息）。点击该消息，当前页面就会下载这个消息并显示出来，转走用户的5000元，从而达到CSRF攻击的目的。
  

② CSRF Prompt By-Pass

• 打开`Cross-Site Scripting （xss）`攻击中的第五个：CSRF Prompt By-Pass

• 同攻击4，查看页面下侧Parameters中的src和menu值
• 在title框中输入学号，message框中输入代码

• 在Message List中生成以Title命名的链接"20175224"。
• 点击进入后，如图攻击成功：
  

SQL注入攻击

        SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

① Command Injection 

• 右键点击页面，选择`inspect Element`审查网页元素对源代码进行修改
• 
• 在复选框中任意一栏的代码后添加& netstat -an & ipconfig
• 

• 点击view，能看到网络端口使用情况和 IP 地址，攻击成功
  

② Numeric SQL Injection

 显示所有城市的天气情况 

• 右键点击页面，选择`inspect Element`审查网页元素对源代码进行修改，在选中的城市编号`Value`值中添加`or 1=1` 
• 
• 攻击成功，显示所有城市的天气情况
  

③ Log Spoofing 

 通过查看下方灰色区域，我们分析它代表在 Web 服务器的日志中的记录的内容。

目的：使用户名为“admin” 的用户在日志中显示“成功登录”。

方法：通过在日志文件中插入脚本实现。

• 在username中填入 axy175224%0d%0aLogin Succeeded for username: admin，利用回车(0D%)和换行符(%0A)让其在日志中两行显示

• 点击Login，可见axy175224在Login Failed那行显示，我们自己添加的语句在下一行显示
  

• 可以向日志文件中添加恶意脚本，脚本的返回信息管理员能够通过浏览器看到。用户名输入admin ，管理员可以看到弹窗的cookie信息。

④ String SQL Injection 

 目的：尝试通过 SQL 注入将所有信用卡信息显示出来。

方法：基于以下查询语句构造自己的 SQL 注入字符串。SELECT * FROM user_data WHERE last_name = ‘?‘。

• 选择Injection Flaws中的String SQL Injection
• 输入查询的用户名axy‘ or 1=1--
  如此axy 和1=1都成了查询的条件，而1=1是恒等式，这样就能select表里面的所有数据。
  

⑤ LAB:SQL Injection

• 右键点击页面，选择inspect Element审查网页元素对源代码进行修改，将password密码框的最大长度限制改为20或更大
• 
• 以用户Neville（admit）登录，输入密码hello‘ or ‘1‘ = ‘1，成功得到所有人员列表
• 

Stage 3: Numeric SQL Injection

• 通过注入数字型数据，绕过认证
• 可以通过普通账户，查看到管理员的用户信息

• 使用用户名Larry和密码larry登录，浏览员工信息的按钮是ViewProfile
• 
• 右键审查网页元素修改源代码，用社会工程学解释老板应该是工资最高的，所以将员工ID的value改成101 or 1=1 order by salary desc，使得老板的信息作为查询到的第一条数据
• 
• 成功得到老板的账户信息
• 

⑥Database Backdoors

数据库通常作为一个 Web 应用程序的后端，它可以被用来作为存储恶意活动的地方，如触发器

• 输入id101，我们可以看到插入查询语句的字符串没有经过任何处理，即可以输入多条语句进行增、删、改、查
• 
• 输入注入语句101; update employee set Password=20175224执行，可以看见密码框成功变为了自己设置的密码
• 
• 输入语句：

  101;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email=‘axy@qq.com‘WHERE userid = NEW.userid

• 之后当用户更新设置邮箱时，就会设置成攻击者的地址
• 

⑦Blind Numeric SQL Injection

• 针对查询语句的后半部分构造复杂语句，语句

  101 AND ((SELECT pin FROM pins WHERE cc_number=‘1111222233334444‘) > 10000 );

  可以告诉我们PIN数值是否大于10000
• 这里提示Invalid account number表示PIN
• 
• 经过二分法的不断调整后得到如下语句返回帐号有效：
  

  101 AND ((SELECT pin FROM pins WHERE cc_number=‘1111222233334444‘) = 2364 );

• 因此PIN数值为2364
• 

• 查询语句：
  

  101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number=‘4321432143214321‘), 1, 1) ‘H‘ );

• 该语句使用了SUBSTRING方法，取得PIN字段数值的第一个字母
• Invalid account number表示其PIN字段首字母≥H
• 
• 经过多次测试（比较0-9、A-Z、a-z等字符串）和页面的返回数据，判断出第一个字符为J
• 同理继续判断第二个字符

  101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number=‘4321432143214321‘), 2, 1) ‘h‘ );

• 最终，判断出PIN字段的值为Jill
• 

三、问题与思考

• 分析：电脑jdk版本和 这个jar的jdk版本不同
• 解决方案：重新安装JDK（参考资料）

四、实验总结