Web安全加固
作者:互联网
Web安全加固
1.准备工作(项目部署)
- 在SQL2012中附加项目相关数据库
- 在my eclipse中导入项目
- 存在的问题
运行index.jsp.页面找不到的原因:
a.数据库中没有赋予mdf文件所有权限。
b.如下图:数据库用户名称和密码与java后台的用户名密码没有对应上。
c.……
2.SQL注入防范:
实现绕过密码登录
直接使用万能密码“admin' or 1=1 --'”进行用户登录,登录失败;原因是项目中的java文件采用了一定的手段避免了绕过密码登陆的可能性,如图无法登陆;
解决方法:
添加永真SQL代码,可以使用“万能密码”实现绕过密码登陆,且登录账户默认为数据库中的第一个用户。
如图所示,登陆成功:
3.跨站攻击防范
- 留言失败
在任意博主主页下面进行留言,留言内容为js代码:<script>alert("xxx")</script>
并不能留言成功,且代码不会生效,如下图所示:
- 在项目中编写代码,在用户提交留言和评论信息时将<和>分别替换为>和<
留言成功,显示代码内容:
4.上传攻击防范
利用中国菜刀黑客工具,在网站中寻找能够上传文件的位置,上传菜刀马:
<1>直接上传;因为源代码对上传文件格式有所限制,如下图所示:
所以直接上传jsp文件,一定不会上传成功:
<2>通过修改jsp文件后缀,改为源代码所支持的格式如.jpg格式,可以上传成功,也可以与中国菜刀进行连接,但不能正常使用。
<3>注释掉文件上传限制,直接上传后缀为jsp的菜刀马,可以上传成功且能正常使用,如下图所示:
标签:Web,安全,留言,密码,jsp,文件,菜刀,加固,上传 来源: https://blog.csdn.net/weixin_45713721/article/details/116484820