@
一、实践内容
Web前端HTML
能正常安装、启停Apache
理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML
Web前端JavaScipt
理解JavaScript的基本功能,理解DOM
在(1)的基础上,编写JavaScript验证用户名、密码的规则。在用户点击登陆按钮后回显“欢迎+输入的用户名”
尝试注入攻击:利用回显用户名注入HTML及JavaScript
Web后端:MySQL基础——正常安装、启动MySQL,建库、创建用户、修改密码、建表
Web后端:编写PHP网页,连接数据库,进行用户认证
最简单的SQL注入,XSS攻击测试
选做Webgoat或类似平台的SQL注入、XSS、CSRF攻击各一例
二、实践原理
WebGoat
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,目前提供的训练课程有很多,包含了XSS、线程安全、SQL注入、访问控制、隐藏字段、Cookie等。
SQL注入攻击原理
SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
Web应用对后台数据库查询语句处理存在的安全漏洞。即为:在输入字符串中嵌入SQL指令,在设计程序中忽略对可能构成攻击的特殊字符串的检查,例如:',--,# 这些特殊字符
后台数据库将其认作正常SQL指令后正常执行,可能实现对后台数据库进行各种操作,甚至造成破坏后台数据库等严重后果。
XSS攻击
XSS跨站脚本。攻击者利用网站漏洞(通常这些漏洞是指网站后台处理程序没有很好的对用户输入进行过滤),输入可以显示在页面上的、对其他用户造成影响的HTML代码;从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
CSRF攻击
CSRF :跨站请求伪造。即冒名登录。跨站请求伪造的核心本质是窃取用户的Session,或者说Cookie,因为目前主流情况Session都是存在Cookie中.攻击者并不关心被害者具体帐号和密码,因为一旦用户进行了登录,Session就是用户的唯一凭证,只要攻击者能够得到Session,就可以伪装成被害者进入服务器;
主要是当访问网站A时输入用户名和密码,在通过验证后,网站A产生Cookie信息并返回,此时登录网站A成功,可正常发送请求到网站A。在未退出网站A前,若访问另一个网站B,网站B可返回一些攻击性代码并请求访问网站A;因此在网站B的请求下,向网站A发出请求。但网站A不知道该请求恶意的,因此还是会执行该恶意代码防御。
三、实践过程记录
1、Web前端HTML
kali默认已安装Apache,输入service apache2 start命令打开Apache服务,输入netstat -aptn查看端口信息,如果80端口被Apache2监听,则启动成功。
用虚拟机里的浏览器打开127.0.0.1,可正常打开Apache介绍网页,则开启成功。
终端输入 cd /var/www/html 进入Apache目录下,新建一个简单的含有表单的html文件
touch 4304.html(创建)
vi 4304.html(编辑)
编辑内容
<html>
<head>
<title>20204304</title>
<meta http-equiv="Content-Type" content="test/html; charset=utf-8" />
</head>
<body>
<h2>Login</h2>
<center>
<form action="myindex" method="get" name="form_login">
<input placeholder="username" name="user" class="user" type="text" onfocus="if (th is.value=='Your name') this.value='';" />
<br>
</br>
<input placeholder="Password" name="Password" class="pass" type="password" onf ocus="if (this.value=='Your password') this.value='';"/>
<br>
</br>
<input type="submit" value="Login" onClick="return validateLogin()"/>
</form>
</center>
</script>
</body>
</html>
在网页中输入/var/www/html/4304.html,显示一个网页表单
2、Web前端JavaScript
添加一段JavaScript代码,以完成对用户是否填写账号和密码的判断,在用户点击登陆按钮后回显“欢迎+输入的用户名”
在</center>后添加如下代码
<!--//main-->
<script language="javascript">
function validateLogin(){
var sUserName = document.form_login.user.value;
var sPassword = document.form_login.Password.value;
if ((sUserName =="") || (sUserName=="Your name")){
alert("need name!");
return false ;
}
if ((sPassword =="") || (sPassword=="Your password")){
alert("need password!");
return false ;
}
}
效果如下
登陆成功界面
编写登录成功后跳转的界面,主要任务是获取用户名参数并显示出来
<html>
<head>
<title>myindex</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
</head>
<script language="JavaScript" type="text/javascript">
var searchStr = location.search;
searchStr = searchStr.substr(1);
var searchs = searchStr.split("&");
var username = searchs[0].split("=");
document.write("欢迎您:"+username[1]);
</script>
<body>
<h2 align="center">myindex</h2>
</body>
</html>
尝试注入攻击
<html>
<head>
<title>myindex</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
</head>
<body>
<h2 align="center">myindex</h2>
<h3 id="n"></h3>
<script language="JavaScript" type="text/javascript">
function myname() {
var searchStr = location.search;
searchStr = searchStr.substr(1);
var searchs = searchStr.split("&");
var username = searchs[0].split("=");
return username[1];
}
document.getElementById("n").innerHTML = decodeURIComponent(myname());
</script>
</body>
<a id='n'></a>
</html>
注入 Javascript
<script language="JavaScript" type="text/javascript">alert("人类命运共同体");</script>
3、Web后端:MySQL基础
输入 service mysql start开启MySQL服务
输入sudo mysql -u root -p使用mysql,默认密码是password
use mysql
输入create database myz;创建一个新的数据库myz,创建好之后查看一下show databases
使用use myz;使用我们创建的数据库
输入create table login(username VARCHAR(20),password VARCHAR(20));建立数据库表login,并设置字段基本信息
使用insert into 表名 values('值1','值2','值3'...);插入数据; insert into login values ('20202127myz@qq.com', '20202127');
输入select * from login;查询表中的数据
在MySQL中增加新用户,输入grant select,insert,update,delete on myz.* to myz@localhost identified by "20202127"; 命令在MySQL中增加新用户,这句话的意思是将对myz数据库的所有表的select,insert,update,delete权限授予当前主机localhost登录的用户myz,20202127是登录密码。
4、Web后端:编写PHP网页,连接数据库,进行用户认证
安装php
sudo apt-get install php
在/var/www/html目录下新建一个PHP测试文件phptest.php
vi phptest.php
<?php
echo "Hello word! This is lz test page!";
?>
输入
127.0.0.1/phptest.php
成功执行了 PHP 代码
连接数据库,进行用户认证
写 test.php 代码
<?php
$uname=$_POST["user"];
$pwd=$_POST["Password"];
echo $uname;
$query_str="SELECT * FROM login where username='$uname' and password='$pwd';";
$mysqli = new mysqli("127.0.0.1", "myz", "20202127", "myz");
$query_str1="use LZ1;";
/* check connection */
if ($mysqli->connect_errno) {
printf("Connect failed: %s\n", $mysqli->connect_error);
exit();
}
echo "connection ok!";
/* Select queries return a resultset */
if ($result = $mysqli->query($query_str1))
echo"<br>Success into database!";
echo$uname;
if ($result = $mysqli->query($query_str)) {
if ($result->num_rows > 0 ){
echo "<br> Welcome login Mr/Mrs:{$uname}:<br> ";
}
else {
echo "<br> login failed!!!! <br> " ; }
/* free result set */
$result->close();
}
$mysqli->close();
?>
将之前的 2127.html 中的中的 action 设为 test.php 改为 POST
登录 127.0.0.1/2127.html 查看
密码正确:
密码错误:
(不要关你的mysql和apache服务)
5、最简单的SQL注入、XSS攻击测试
SQL注入
输入' or 1=1#,密码随意
登陆成功
XSS攻击
在用户名输入,密码随便输
6、选做Webgoat或类似平台的SQL注入、XSS、CSRF攻击各一例
安装 Wdbgoat
参考博客[webgoat 安装教程(windows)] (https://article.itxueyuan.com/46nQXB)
(这个其实不需要windows+R那步,直接去浏览器打开http://127.0.0.1:8080/WebGoat就行)
(2)打开 Webgoat
(3)注册用户
SQL注入攻击——字符串型注入
XSS攻击——XSS钓鱼
由于 XSS 最终是要浏览器渲染的,因此,可以先按下 Purchase,看看哪个输入是会回显的
从上图可知,电话号码那个输入框的输入参数是会回显的在这个输入框中尝试输入
<script>alert('20204304lz')</script>
CSRF攻击——跨站请求伪造
这个任务是在保持当前页面(页面 1)打开的情况下,在新页面(页面 2)上创建以 csrf-为前缀的新用户,并以该新用户登录。然后在页面 1 上点击下图这个solved 按钮。但是在页面 2 上点击这个按钮也能通关,并且在页面 1 如果不重新登录根本点不了这个按钮,因为使用 csrf 用户登录需要先让原本的用户退出登录,而页面 2 上原本的用户退出了登录,页面 1 也会自动跳转到登录页面了。
四、实践基础问题回答
1、什么是表单?
表单在网页中主要负责数据采集功能。一个表单有三个基本组成部分:
表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。
表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。
表单按钮:包括提交按钮、复位按钮和一般按钮;用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用表单按钮来控制其他定义了处理脚本的处理工作。
2、浏览器可以解析运行什么语言?
支持HTML(超文本标记语言)、XML(可扩展标记语言)以及Python、PHP、JavaScript、ASP等众多脚本语言。
3、WebServer支持哪些动态语言?
比较常用的三种动态网页语言有PHP(HypertextPreprocessor)、ASP(ActiveServerPages)、JSP(JavaServerPages)。
ASP全名ActiveServerPages,是一个WEB服务器端的开发环境,利用它可以产生和执行动态的、互动的、高性能的WEB服务应用程序。ASP采用脚本语言VBScript(Javascript)作为自己的开发语言。
JSP是Sun公司推出的新一代网站开发语言,Sun公司借助自己在Java上的不凡造诣,将Java从Java应用程序和JavaApplet之外,又有新的硕果,就是JSP,JavaServerPage。JSP可以在Serverlet和JavaBean的支持下,完成功能强大的站点程序。
PHP是一种跨平台的服务器端的嵌入式脚本语言。它大量地借用C,Java和Perl语言的语法,并耦合PHP自己的特性,使WEB开发者能够快速地写出动态产生页面。
4、防范注入攻击的方法有哪些?
SQL注入攻击
使用正则表达式过滤传入的参数。
关闭或删除不必要的交互式提交表单页面。
jsp中调用函数检查是否包函非法字符,做好规范的校验工作,比如搜索框不能输入非法字符、限制输入的长度等。
使用prepared statements语句绑定变量来执行SQL字符串。没有使用prepared statements语句绑定变量可能很容易受到攻击。
XSS攻击
特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击,采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索,一旦发现提交信息中包含“javascript”,就认定为XSS攻击;
对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤;
实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行。HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie,攻击者完成 XSS 注入后也无法窃取此 Cookie;
使用验证码:防止脚本冒充用户提交危险操作。
CSRF攻击
验证请求中的Token,每一个网页包含一个web server产生的token, 提交时,也将该token提交到服务器,服务器进行判断,如果token不对,就判定位CSRF攻击。将敏感操作又get改为post,然后在表单中使用token. 尽量使用post也有利于防御CSRF攻击。
验证 Referer,因为伪造的请求一般是从第三方网站发起的,所以第一个防御方法就是判断 referer 头,如果不是来自本网站的请求,就判定为CSRF攻击。但是该方法只能防御跨站的csrf攻击,不能防御同站的csrf攻击(虽然同站的csrf更难)。
添加加随机验证,每一个重要的post提交页面,使用一个验证码,因为第三方网站是无法获得验证码的。还有使用手机验证码,比如转账是使用的手机验证码。
实践体会
网络安全知识的学习需要注重理论与实践的相结合。只有通过实践操作,才能深入理解理论知识,并更好地掌握实践技能。在进行web综合实验时,我用到了各种工具进行漏洞扫描、信息收集和密码破解等操作,这些实践操作不仅提高了我的实践技能,也深刻认识到了网络安全攻防的基本原理和网络安全的脆弱性。同时,在进行实验操作时,要注重安全性,遵守相关的法律法规和道德准则,不得利用所学知识进行非法活动。总之,web综合实验是一次非常有意义的学习经历,让我更好地掌握了Web攻击中的SQL注入、XSS和CSRF,并且认识到在Web安全方面仍有许多可以学习的内容。我相信,这些经验和收获对我今后的学习和工作都会产生积极的影响。