SQL注入攻击环境-javaweb

最新推荐文章于 2022-12-09 12:38:11 发布
最新推荐文章于 2022-12-09 12:38:11 发布
阅读量642 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenxiacheng/article/details/107519126
版权
本文通过介绍一个SQL注入攻击的实验环境,详细阐述了如何利用SQL注入漏洞进行登录绕过,并展示了不同关卡下的攻击策略。同时,文章提出了多种防范措施,包括使用PreparedStatement、设置Servlet Filter、正则表达式匹配等,以增强JavaWeb应用的安全性。
摘要由CSDN通过智能技术生成

gitub

实验环境

前端:jsp+xml 后端:Javabean(jdk 1.8)+Sqlite3.15.1+Tomcatv9.0 IDE: ecpliseEE2020-3

配置及运行

配置jdk:项目的jdk的绝对路径.
配置Tomcatv9.0:下载Tomcatv9.0修改Tomcatv9.0绝对路径.配置Tomcatv9.0两个端口号.
配置数据库:在loginsqlEx/src/db/DBUtil.java文件中修改URL变量的login.db的绝对路径.
然后使用ecpliseEE使得项目运行在Tomcatv9.0服务器上.

环境设计

数据库设计

使用Navicat创建一个sqlite3轻型数据库命名为login.db.选择sqlite方便项目迁移.在数据库中创建logintable表用于存放用户信息. 向表中加入已注册用户:
在这里插入图片描述
在这里插入图片描述

前后端设计

1.使用jsp+xml绘制前端页面.并部署在服务器上.
2.前端设置form表单,输入完用户和密码后,点击登陆按钮提交,submit()提交post请求给后台.
3后台Servlet获取提交的数据,对数据进行处理.然后数据操作信息传递给DAO.
4DAO通过jdbc sqlite连接login数据库,使用如下sql语句对用户密码进行查询:
在这里插入图片描述
然后将登录结果ResultSet返回给Servlet.
5 Servlet根据登录结果跳转页面.

使用过程

Sql注入登入框:

在ecplise中运行Tomcat9.0,在内置浏览器中输入网址:http://localhost:5001/loginsqlEx/login.jsp 进入login.jsp显示的登录界面如图1

最低0.47元/天 解锁文章
沉下城
关注
记一次老项目的SQL注入处理
Hireek的博客
10-13 211
问题:sql注入被工信部通报,我们查询接口发现是一个拼接sql,项目有很老的历史,致命缺点:版本未管理,没有线上的最新代码。 架构:tomcat+mysql+spring 解决措施:添加sql注入拦截器。替换线上的class文件。 测试工具:sqlmap。 坑1:tomcat服务器存在缓存,无法更新最新的class文件。 2:sqlmap自带缓存。 缓存未刷新,导致无法获取最新数据。 ...
WEB登录防sql注入 url注入 脚本注入
12-05
WEB登录防sql注入 url注入 脚本注入
SQL注入攻击
qq_45157635的博客
06-19 418
SQL注入攻击 1.打开终端,进入sqlmap目录; 2.通过sqlmap进行注入攻击; 3.通过sqlmap获取数据库名; 4.通过sqlmap获取表名。 设备 攻击机:BT5r3,IP地址:192.168.200.4 URL:http://search.js.cei.gov.cn/004_zhnews/search/detail.php?id=10832 配置实验环境 首先选择网络适配器,安装环回适配器,在主机.上安装Vmware Player,成功启动虚拟机。接着配置宿主机和虚拟机的IP。 要注意的是
java sqlite 反注入_SQLite 防注入
weixin_31434215的博客
02-16 196
如果您的站点允许用户通过网页输入,并将输入内容插入到 SQLite 数据库中,这个时候您就面临着一个被称为 SQL 注入的安全问题。本章节将向您讲解如何防止这种情况的发生,确保脚本和 SQLite 语句的安全。注入通常在请求用户输入时发生,比如需要用户输入姓名,但用户却输入了一个 SQLite 语句,而这语句就会在不知不觉中在数据库上运行。永远不要相信用户提供的数据,所以只处理通过验证的数据,这项...
2020-09-11sql注入攻击
weixin_49196285的博客
09-12 144
sql注入攻击靶机 1.随机点入一个网站后,复制IP地址后空格加–dbs,sqlmap注入跑数据库: 得到数据库: 2. (1).确定一个数据库 (2).之后按照之前的IP地址后-D 数据库 --tables,跑表 得到有关上述数据库有关的表: 3. (1).IP地址加-D数据库 -T表 --coiumns (2).得到有关表后确定表,这个表便是manager之后跑表: 得到后结果: 4.和上诉一样的操作后加入colmns一行的uid,后面加上’uid,password‘: 得到结果: 5.
java sqlite 反注入_SQLite手工注入方法小结
weixin_35450193的博客
02-16 123
SQLite 官网下载:www.sqlite.org/download.htmlsqlite管理工具:http://www.yunqa.de/delphi/products/sqlitespy/indexsqlite_master隐藏表,具体内容如下:字段:type/name/tbl_name/rootpage/sqlsqlite注入测试:1、Union select 查询select * fro...
SQL注入攻击原理分析及JavaWeb环境下的防范措施.pdf
07-23
本文在分析了SQL 注入原理的基础上,提出了几点Java Web 环境下防范措施。   随着Ineternet 技术的迅猛发展,为了能更充分地使用互联网这个世界上最大的交流平台,许多单位或个人纷纷建立自己的网站。但是...
javaweb-QQZONE-JavaWeb.zip
10-24
这个"javaweb-QQZONE-JavaWeb.zip"文件可能是一个项目压缩包,包含了开发一个基于JavaWeb的QQ空间克隆或者类似社交平台所需的所有资源。下面我们将深入探讨JavaWeb开发中的关键知识点。 1. **Servlet与JSP**: - *...
yolo开发t-JavaWeb-m笔记
最新发布
06-03
【标题】"yolo开发t-...15. **安全**:包括认证、授权、防止SQL注入和XSS攻击等。 这些知识点涵盖了从基础到进阶的JavaWeb开发,通过"yolo开发t-JavaWeb-m笔记"的学习,开发者可以系统地提升自己的JavaWeb开发能力。
信息管理系统--JavaWeb版.zip
03-04
4. 安全性:使用HTTPS协议保护数据传输,设置防火墙规则,防止SQL注入和XSS攻击,确保系统安全。 5. 人工智能集成:可以利用机器学习库(如TensorFlow或Scikit-learn)实现用户行为分析,预测用户需求,提供个性化...
用传参数的方法实现Java对SQLite的添加和查询
04-26
用传参数的方法实现Java对SQLite的添加和查询(不用拼接sql语句的方法,不用屏蔽单引号,工程包括sqlite-jdbc-3.27.2.1.jar)
SQL注入专题
weixin_51276063的博客
09-04 1127
sql注入专题
Nginx 防止SQL注入、XSS攻击的实践配置方法
laidanlove250的博客
03-06 5673
Nginx防止SQL注入、XSS攻击需要在nginx.conf配置文件server二级域名下添加如下代码 if ($query_string ~* ('\$|'|--|[+|(%20)]union[+|(%20)]|[+|(%20)]insert[+|(%20)]|[+|(%20)]drop[+|(%20)]|[+|(%20)]truncate[+|(%20)]|[+|(%20)]update[+|(%20)]|[+|(%20)]from[+|(%20)]|[+|(%20)]grant[+|(%20
SQL注入攻击及防范
AlphaFinance
12-09 2283
为了防范SQL注入攻击,需要采取以下措施:一、对用户输入进行严格限制和过滤,应用程序应该严格限制用户输入的内容,只允许用户输入预定义的字符集,并对用户输入进行过滤,拒绝包含特殊字符的输入。二、使用参数化查询,参数化查询是指在执行SQL语句时,将用户输入的参数单独作为参数传入,而不是将用户输入的内容直接拼接到SQL语句中。通常情况下,SQL注入攻击是利用应用程序接受用户输入的漏洞,将恶意代码作为用户输入传入应用程序,让应用程序将恶意代码当作正常的SQL语句执行。
WEB-漏洞总结(sql注入详解)
热门推荐
qq_50643984的博客
03-24 1万+
SQL注入 sql注入分类 1.post注入,get注入,cookie注入,http头注入(可能user-agent存在注入) 2.数字型注入,字符型注入(类似一个int,一个chr) 3.盲注:布尔盲注,时间盲注 报错注入:利用报错函数,常见报错函数 ...
渗透攻防web篇-sql注入攻击中级
煮酒闲谈
08-05 4052
Preface 找到SQL注入漏洞后,我们可以用它来干什么呢?那么本篇文章给大家带来的就是SQL注入漏洞利用技术,现在是时候让我们去体验一下漏洞利用的乐趣了。 目录 第三节 利用SQL注入 3.1 识别数据库3.2 UINON语句提取数据3.3 枚举数据库3.4 窃取哈希可令3.5 获取WebShell 第四节 SQL盲注利用 4.1 初识SQL盲注4.2 SQL盲注入技术
血腥!实况转播SQL注入全过程,让你知道危害有多大。
weixin_30532973的博客
03-31 971
前阵子发现公司的网站有SQL注入漏洞,向项目经理提了以后,得到的答复异常的冷淡:“早就知道,这种asp的网站肯定有漏洞,要是Asp.net的网站就没问题”,先暂不评价此说法对错,如此冷淡的反应只能说明了对SQL注入的无知,今天就实况转播,来告诉大家SQL注入究竟有多大的危害。 初步注入--绕过验证,直接登录 公司网站登陆框如下: 可以看到除了账号密码之外,还有一个公司名的输入框,根...
java web中防止sql注入
王百林的博客
12-22 2052
//取得本次请求request中的参数 Map paramMap = request.getParameterMap(); //参数key Set keySet = paramMap.keySet(); for (String key : keySet) { //参数value String[] paramValue = paramMap.get(key); for (String
三、servlet防止sql注入漏洞
tianyejun6的博客
12-31 2391
一、经常出现漏洞的sql语句 用户名和密码 一起同时查询。select * from users where username=‘abc’ and passwd=‘123’ or 1=‘1’ 二、正确的sql语句先查询数据库根据用户名查询密码,如果存在改用户名,再看密码是否相同。 "select passwd from users where username='" + name + "' limi
JavaWeb开发笔记 - Heart-First-JavaWeb实践总结
9. 安全性:Web应用安全性是一个重要的话题,包括用户认证、授权、防止SQL注入、XSS攻击等。学习如何使用Java Web应用的安全框架和最佳实践。 10. 前端技术:虽然Java Web开发主要关注后端技术,但现代Web开发也...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值