web安全加固

实验准备:运行项目(将项目导入MyEclipse),导入数据库(设置权限为完全控制),【myeclipse中的sql部分连接用户名和密码要与数据库中相对应】。

SQL注入防范

  • 运行项目,在用户登录界面用户名处输入万能密码admin’ or 1=1 --’,密码处输入任意字符,点击登录,观察是否能绕过后台登录系统。
    web安全加固_第1张图片
  • 在项目中找到用户登录模块所使用的关键SQL语句。
    web安全加固_第2张图片
  • 修改登录模块的SQL查询相关语句,再次运行项目,使用万能密码admin’ or 1=1 --'进行登录,观察是否能够成功登录(能够成功登陆)web安全加固_第3张图片

跨站攻击防范

  • 运行项目,在网站中寻找能够提交信息的文本框。提交JS代码:< script>alert(“xxx”)< /script>,观察代码是否生效。
    web安全加固_第4张图片
  • 在项目中编写代码,在用户提交留言时将<和>分别替换为>和<,再次在留言板中提交JS代码:< script>alert(“xxx”)< /script>,观察提交的代码是否能够正常显示。
    web安全加固_第5张图片web安全加固_第6张图片
  • 在项目中编写代码,在用户提交文章评论时将<和>分别替换为>和<,再次在文章评论中提交JS代码:< script>alert(“xxx”)< /script>,观察提交的代码是否能够正常显示。
    web安全加固_第7张图片web安全加固_第8张图片
  • 运行项目,在网站中寻找能够上传文件的位置,尝试上传菜刀马。观察是否能够上传成功
    web安全加固_第9张图片web安全加固_第10张图片
  • 分析项目源代码,找到项目在哪里对上传文件类型做了何种限制。
    web安全加固_第11张图片
    web安全加固_第12张图片
  • 将菜刀马的文件后缀修改为图片类型,观察是否能够上传。
    web安全加固_第13张图片
    web安全加固_第14张图片
  • 注释掉文件上传限制,上传jsp后缀的菜刀马,观察是否能够正常使用。(此时已经可以使用了)
    web安全加固_第15张图片
    web安全加固_第16张图片web安全加固_第17张图片

总结

  • 运行项目前的准备要比较完善,比如数据库的导入(可能会存在系统较慢,有任务占用的情况),数据库的权限设置为完全控制,项目与数据库的连接要正确等。
  • 在修改项目时,对文件存放位置要准确,写程序时要注意空格、字符等细节,对关键性的代码要有注释,方便查找和理解。

你可能感兴趣的:(网络安全)