金融信息安全实训报告——Web安全加固0507

最新推荐文章于 2024-05-03 18:20:20 发布
最新推荐文章于 2024-05-03 18:20:20 发布
阅读量235 收藏
点赞数
文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Terry0227/article/details/116496426
版权

Web安全

Web业务平台的不安全性主要是由Web平台的特点,即开放性所致。

实验任务1 SQL注入防范

该项目使用了PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。所以在用户登录界面用户名处输入万能密码admin' or 1=1 --',密码处输入任意字符,点击登录,无法绕过后台登陆。

修改登录模块的SQL查询相关语句后,再次运行项目,使用万能密码admin' or 1=1 --'即可登录。且登陆的账号为数据库里第一个账号。

实验任务2 XSS跨站防范

运行项目,在网站中寻找能够提交信息的文本框。提交JS代码:<script>alert("xxx")</script>,代码无法生效。

原因:在HTML中,某些字符是预留的。例如小于号 < 和大于号 > ,浏览器在解析他们时会误认为它们是标签。如果希望正确地显示预留字符,我们必须在HTML源代码中使用字符实体(character entities)。

在项目中编写代码,在用户提交留言和评论信息时将<和>分别替换为&gt;和&lt;,提交的代码即可正常显示。

幪面超人古迦
关注
国防网络安全与数据治理研究
fzq0625的博客
09-08 1082
摘要健全和完善我国国防网络安全和数据治理架构,既是国家网络安全与数据治理的重要一环,也是在《数据安全法》框架下细分领域内的重要实践。运用比较分析和文献分析法,提炼美国2013—2022年《国防授权法》中国防网络安全与数据治理的逻辑特征,吸收美国国防网络安全与数据治理的成功经验,完善我国国防网络安全与数据治理的总体架构。总体国家安全观下的国防网络安全与数据治理需要兼顾传统安全与非传统安全建设的核心要素,完善国防网络与数据安全的专项立法、构建政民预警交互意识和政企合作交互布局的“双重交互”体系,完善我国国防网络
《网络安全学习》 第十部分----web安全加固
tomatocc的博客
08-29 869
信息安全的基本概念 1.信息安全:指保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性、和不可否认性。 2.信息安全保障:是保证信息与信息系统的保密性、完整性、可用性、可控性和不可否认性的信息安全保护和防御 过程。它要求加强对信息和信息系统的保护,加强对信息安全事件和各种脆弱性的检测,提高应急反应能力和系统恢复能力。 3.信息安...
实训六:Web 安全加固
qq_45935706的博客
05-07 300
实训六:Web 安全加固 使用策略加固网站安全性。 工具:ITCLUB 博客,菜刀 1.SQL 注入防范 在用户登录界面用户名处输入万能密码 admin' or 1=1 --',密码处输入任意字符,点击登录,不能绕过后台登录系统。 失败原因:项目使用 PreparedStatement 方法完成 SQL 语句的执行,该方法要求在执行 SQL 语句之前,必须告诉 JDBC 哪些值作为输入参数,解决了普通 Statement 方法的注入问题,极大的提高了 SQL 语句执行的安全性。 在项目中找到.
2021-05-07
qq_44825720的博客
05-07 272
实训6 Web安全加固 实验目的 了解SQL注入的概念和基本原理。 了解XSS跨站的概念和基本原理。 了解上传漏洞的概念和基本原理。 掌握避免SQL注入攻击的基本方法。 掌握避免XSS跨站进行攻击的基本方法。 掌握避免上传漏洞进行攻击的基本方法。 实验任务1 SQL注入防范 1、运行项目,在用户登录界面用户名处输入万能密码admin' or 1=1 --',密码处输入任意字符,点击登录,观察是否能绕过后台登录系统。 原因:项目使用PreparedStatement方法完成
实训Web安全加固
qq_45886314的博客
05-07 641
实训Web安全加固 实验目的 了解SQL注入的概念和基本原理。 了解XSS跨站的概念和基本原理。 了解上传漏洞的概念和基本原理。 掌握避免SQL注入攻击的基本方法。 掌握避免XSS跨站进行攻击的基本方法。 掌握避免上传漏洞进行攻击的基本方法。 实验准备及注意事项 1.硬件:装有Windows操作系统的计算机1台。 2.软件:myeclipse、sqlserver、blog项目。 3.严格按照实验步骤进行实验,实验结果以截图的形式进行保留。 实验任务1 SQL注入防范 1. 运行项目
Web安全加固
qq_53161816的博客
05-07 316
1.SQL注入防范 运行项目,开启sql服务,将项目的数据库导入sql server,然后用myeclipse8.5运行项目,在用户登录界面用户名处输入万能密码admin' or 1=1 --',密码处输入任意字符,点击登录,发现不能绕过后台登录系统。 在项目中找到用户登录模块所使用的关键SQL语句。 修改登录模块的SQL查询相关语句 再次运行项目,使用万能密码admin' or 1=1 --'进行登录,发现可以成功登录。 我们发现登录的账号是稻草人的账号,而观察数据库又发现,稻草人是
金融信息安全实训-web安全加固
m0_45652034的博客
04-29 1361
金融实训周-安全
金融信息安全实训——Web安全加固
qq_50726412的博客
05-12 161
实训6 Web安全加固 实训目的 了解SQL注入的概念和基本原理。 了解XSS跨站的概念和基本原理。 了解上传漏洞的概念和基本原理。 掌握避免SQL注入攻击的基本方法。 掌握避免XSS跨站进行攻击的基本方法。 掌握避免上传漏洞进行攻击的基本方法。 实训准备及注意事项 1.硬件:装有Windows操作系统的计算机1台。 2.软件:myeclipse、sqlserver、blog项目。 3.严格按照实验步骤进行实验,实验结果以截图的形式进行保留。 实训任务1 SQL注入防范 1、部署并运行Blog项目,在用户
2024年网安最新网络安全综合实训
2401_84264583的博客
05-03 878
实验9 加解密编程(一)代码实验10加密解密编程(二)代码实验11加解密编程(三)代码。
蓝盾实训营day8——IIS安全加固与证书签发
mingC0758的博客
07-18 753
网站安全狗(IIS版) 安全狗一般有以下功能: 防止流量攻击 防止SQL注入 文件上传防护 防止一句话木马的执行 开启安全狗的防护功能: 对网站进行SQL注入测试: 显示请求被拦截。 回到安全狗,查看防护日志: 用菜刀连接一句话木马的时候会被拦截: Windows防火墙 开启防火墙后,所有外部连接都会被拒绝。 可以通过添加例外-端口,来开放某个端口供外部...
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
web安全加固
weixin_53690010的博客
06-01 977
一.Blog项目部署 在进行实训6web安全加固的任务中,需要布置blog项目,主要用到的软件有:myeclipse,sqlserver。首先打开sqlserver服务器,然后连接数据库,将已有的db_mediaBlog附加到数据库中,在此过程之前要先将两个db文件作出如下操作:右键属性~安全~Administrators~编辑~将安全控制设置为允许。下图的两个文件 打开myeclipse,将blog项目导入。导入后文件会报错:1.在properties中修改为UTF-82.在DB.java中将密码进行修
实训周实验6 Web安全加固
lee_r的博客
05-07 594
文章目录实训6 Web安全加固实验目的实验准备及注意事项实验任务1 SQL注入防范实验任务2 XSS跨站防范实验任务3 上传攻击防范总结 实训6 Web安全加固 实验目的 了解SQL注入的概念和基本原理。 了解XSS跨站的概念和基本原理。 了解上传漏洞的概念和基本原理。 掌握避免SQL注入攻击的基本方法。 掌握避免XSS跨站进行攻击的基本方法。 掌握避免上传漏洞进行攻击的基本方法。 实验准备及注意事项 1.硬件:装有Windows操作系统的计算机1台。 2.软件:myeclipse、sqlserve
2000-2021年中国科技统计年鉴(分省年度)面板数据集-最新更新.zip
11-14
2000-2021年中国科技统计年鉴(分省年度)面板数据集-最新更新.zip
PPT保护工具PDFeditor专业版-精心整理.zip
11-14
PPT保护工具PDFeditor专业版-精心整理.zip
Spring Boot Docker 项目:含项目构建、镜像创建、应用部署及相关配置文件,容器化部署.zip
11-14
1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。
考研英语真题及详解-精心整理.zip
最新发布
11-14
考研英语真题及详解-精心整理.zip
华迪信息安全实训手册:HTTPS部署与网络攻防详解
信息安全操作手册是一本全面介绍信息安全技术的实用指南,涵盖了网络安全知识和网络攻防技术的相关内容。手册共分为五个部分,分别为: 1. **IIS部署HTTPS服务**: - HTTPS是基于SSL(Secure Socket Layer)的安全...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值