WebGoat笔记十一_注入缺陷(Injection Flaws).pdfVIP

WebGoat 学习笔记十一 WebGoat 学习笔记十一 —注入缺陷(Injection Flaws) 瞿靖东 2015/11/14 版本号：WebGoat 5.4 1、命令注入(Command Injection) 技术概念或主题(Concept / Topic To Teach) 命令注入攻击对任何一个以参数驱动的站点来说都是一个严重威胁。这种攻击技术背后 的技术方法，简单易学，能造成大范围的损害，危及系统安全。尽管这类风险数目令人难以 置信，互联网中的系统很容易受到这种形式的攻击。 这种攻击容易扩散，造成更坏的影响。但是对于这类威胁，一点常识和预先预防几乎可 以完全阻止。这节课将为学员展示几个参数注入的例子。 “清洗”所有输入数据总是不错的做法，尤其是那些将被用于操作系统命令、脚本和数 据库查询语句的数据。 技术原理(How It works ) 在正常的参数提交过程中，添加恶意的代码，往往能够得到以外的收获。 总体目标(General Goals ) 本节要求学员能够在目标主机上执行任何系统命令。 操作方法(Solutions) 启动WebScarab 。在课程页面的下拉列表中任意选择一个页面，然后点“View WebGoat 学习笔记十一 通过WebScarab 截获请求，在所请求的页面处添加“ netstat -an ipconfig 。注意， 有个英文双引号 点击执行后返回页面，在这个页面中能看到网络端口使用情况和 IP 地址。通过这种方 式实现了攻击。 2、数字型SQL 注入(Numeric SQL Injection) 技术概念或主题(Concept / Topic To Teach) SQL 注入攻击对任何一个以数据库作为驱动的站点来说都是一个严重威胁。这种攻击 技术背后的技术方法，简单易学，能造成大范围的损害，危及系统安全。尽管这些风险数目 令人难以置信，互联网中的系统很容易受到这种形式的攻击。 这种攻击容易扩散，造成更坏的影响，但是对于这类威胁，一点常识和预先预防几乎可 以完全阻止。这节课将为学员展示几个参数注入的例子。 尽管SQL 注入威胁可能已经通过其它方式被拦截，但“清洗”所有输入数据总是不错的 做法，尤其是那些将被用于操作系统命令、脚本和数据库查询语句的数据。 WebGoat 学习笔记十一 技术原理(How It works ) 在station 字段中注入特征字符，能组合成新的SQL 语句。 SELECT * FROM weather_ data WHERE station=[station] 总体目标(General Goals ) 下面的表单允许用户查看天气数据。请通过注入SQL 字符串的方式查看所有的天气数 据 操作方法（Solutions） 打开WebScarab ，然后选择一个城市，点“GO ”，WebScarab 中会显示该城市编号， 在编号后面添加“or 1=1”，确定 攻击成功，显示所有城市的天气情况 WebGoat 学习笔记十一 3、日志欺骗（Log Spoofing） 技术概念或主题（Concept / Topic To Teach） 本节课程将教会你如何使用障眼法。 技术原理（How It works ） 这种攻击是在日志文件中愚弄人的眼睛，攻击者可以利用这种方式清除他们在日志中 的痕迹。 总体目标（General Goals） 灰色区域代表在Web 服务器的日志中的记录的内容。你的目的是使用户名为 “admin ”的用户在日志中显示“成功登录”。 操作方法（Solutions） 本节课程接受用户输入的任何一个用户名，并将其追加到日志文件中。 在文本框中输入用户名：“qw ”,这样用户名后面的信息会在同一行显示，而不是在新 的一行。 这样你可以往该应用中注入回车（0d%）和换行符（%0a）。在username 中填入 “Smith%0d%0aLogin Succeeded for username: a