实验准备:运行项目(将项目导入MyEclipse),导入数据库(设置权限为完全控制),【myeclipse中的sql部分连接用户名和密码要与数据库中相对应】。
SQL注入防范
- 运行项目,在用户登录界面用户名处输入万能密码admin’ or 1=1 --’,密码处输入任意字符,点击登录,观察是否能绕过后台登录系统。
- 在项目中找到用户登录模块所使用的关键SQL语句。
- 修改登录模块的SQL查询相关语句,再次运行项目,使用万能密码admin’ or 1=1 --'进行登录,观察是否能够成功登录(能够成功登陆)
跨站攻击防范
- 运行项目,在网站中寻找能够提交信息的文本框。提交JS代码:< script>alert(“xxx”)< /script>,观察代码是否生效。
- 在项目中编写代码,在用户提交留言时将<和>分别替换为>和<,再次在留言板中提交JS代码:< script>alert(“xxx”)< /script>,观察提交的代码是否能够正常显示。
- 在项目中编写代码,在用户提交文章评论时将<和>分别替换为>和<,再次在文章评论中提交JS代码:< script>alert(“xxx”)< /script>,观察提交的代码是否能够正常显示。
- 运行项目,在网站中寻找能够上传文件的位置,尝试上传菜刀马。观察是否能够上传成功
- 分析项目源代码,找到项目在哪里对上传文件类型做了何种限制。
- 将菜刀马的文件后缀修改为图片类型,观察是否能够上传。
- 注释掉文件上传限制,上传jsp后缀的菜刀马,观察是否能够正常使用。(此时已经可以使用了)
总结
- 运行项目前的准备要比较完善,比如数据库的导入(可能会存在系统较慢,有任务占用的情况),数据库的权限设置为完全控制,项目与数据库的连接要正确等。
- 在修改项目时,对文件存放位置要准确,写程序时要注意空格、字符等细节,对关键性的代码要有注释,方便查找和理解。
302
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
