金融信息安全实训——05.07

金融信息安全实训——05.07 a.m

XSS攻击：跨站脚本攻击。XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。

存储型：注入的恶意代码存储在服务器上，受害者请求服务器获取信息的时候，这些恶意代码就被浏览器成功执行。

反射型：注入的恶意代码没有存储在服务器上，通过引诱用户点击一个链接到目标网站进行实施攻击。

DOM型：注入的恶意代码并未显式的包含在web服务器的响应页面中，但会被页面中的js脚本以变量的形式来访问到的方式来进行实施攻击。

SQL注入攻击：SQL注入攻击是通过WEB表单提交，在URL参数提交或Cookie参数提交，将怀有恶意的“字符串”，提交给后台数据库，欺骗服务器执行恶意的SQL语句。SQL注入的危害很大，利用SQL注入可以进行，拖库、删库、删表、UDF提权、读取文件等。

文件上传漏洞：文件上传漏洞是攻击者上传了一个可执行的文件到服务器上执行，可执行文件包括有病毒、木马、恶意脚本等。

信息泄露：信息泄露主要指用户的手机号、邮箱、密码、身份证、地址等敏感数据泄露，还有服务器上的文件和环境变量等敏感数据泄露，还包括将直接将企业源码上传到开发平台等。

6-1SQL注入防范

1.运行项目，在用户登录界面用户名处输入万能密码admin' or 1=1 --'，密码处输入任意字符，点击登录，观察是否能绕过后台登录系统。

 

2.在项目中找到用户登录模块所使用的关键SQL语句。

 

3.修改登录模块的SQL查询相关语句，再次运行项目，使用万能密码admin' or 1=1 --'进行登录，观察是否能够成功登录

 

6-2跨站攻击防范

1.运行项目，在网站中寻找能够提交信息的文本框。提交JS代码：<　script>alert("xxx")<　/script>，观察代码是否生效。

 

2.在项目中编写代码，在用户提交留言时将<和>分别替换为>和<，再次在留言板中提交JS代码：<　script>alert("xxx")<　/script>，观察提交的代码是否能够正常显示。

 

3,。在项目中编写代码，在用户提交文章评论时将<和>分别替换为>和<，再次在文章评论中提交JS代码：<　script>alert("xxx")<　/script>，观察提交的代码是否能够正常显示。

 

6-3上传攻击防范

1.运行项目，在网站中寻找能够上传文件的位置，尝试上传菜刀马。观察是否能够上传成功

 

2.分析项目源代码，找到项目在哪里对上传文件类型做了何种限制。

 

3.将菜刀马的文件后缀修改为图片类型，观察是否能够上传。

 

4.尝试获取图片地址，并使用中国菜刀进行连接，观察是否能够正常使用。

 

5.注释掉文件上传限制，上传jsp后缀的菜刀马，观察是否能够正常使用。