其他分享
首页 > 其他分享> > Web安全加固

Web安全加固

作者:互联网

Web安全加固

1.准备工作(项目部署)

         运行index.jsp.页面找不到的原因:

             a.数据库中没有赋予mdf文件所有权限。

             b.如下图:数据库用户名称和密码与java后台的用户名密码没有对应上。

             c.……

2.SQL注入防范:

实现绕过密码登录

直接使用万能密码“admin' or 1=1 --'”进行用户登录,登录失败;原因是项目中的java文件采用了一定的手段避免了绕过密码登陆的可能性,如图无法登陆;

解决方法:

添加永真SQL代码,可以使用“万能密码”实现绕过密码登陆,且登录账户默认为数据库中的第一个用户。

如图所示,登陆成功:

 

 

 

3.跨站攻击防范

在任意博主主页下面进行留言,留言内容为js代码:<script>alert("xxx")</script>

并不能留言成功,且代码不会生效,如下图所示:

 

留言成功,显示代码内容:

 

4.上传攻击防范

利用中国菜刀黑客工具,在网站中寻找能够上传文件的位置,上传菜刀马:

<1>直接上传;因为源代码对上传文件格式有所限制,如下图所示:

所以直接上传jsp文件,一定不会上传成功:

 

<2>通过修改jsp文件后缀,改为源代码所支持的格式如.jpg格式,可以上传成功,也可以与中国菜刀进行连接,但不能正常使用。

<3>注释掉文件上传限制,直接上传后缀为jsp的菜刀马,可以上传成功且能正常使用,如下图所示:

 

标签:Web,安全,留言,密码,jsp,文件,菜刀,加固,上传
来源: https://blog.csdn.net/weixin_45713721/article/details/116484820