web漏洞
常见的漏洞利用有密码登录绕过,命令注入,跨站请求伪造,文件上传,SQL注入,跨站反击等。
web安全加固
发现漏洞,对网站进行加固
SQL注入防范
部署一个blog项目。同上面一样,输入万能密码,构造一个永真的语句,绕过后台登录系统,发现不可以登录成功。
String sql="select * from tb_user where user_name= ? and user_pswd= ? "
如果想绕过,直接登录,我们可以找到SQL语句,对其进行做如下修改
String sql="select * from tb_user where user_name='"+params[0]+"' and user_pswd='"+params[1]+"'";
笔记补充:
cmd常用命令
ifconfig
ifconfig/all,可以找到ip地址,子网掩码,MAC地址,DNS
输入ipconfig/displaydns
利用ping命令获取远程网络信息
输入ping命令想百度发送1000字节的数据包
ping命令除了可以测试网络联通性外还可以探测网络中的哪些主机存在。还可以利用ping命令批量探测某网段的主机IP
@echo off
set /p ip="请输入IP地址段,格式如:"192.168.1." >>> "
for /L %%i in (1,1,254) do (
Ping.exe -n 1 -l 16 -w 100 %ip%%%i>>ipscan.txt
if not errorlevel 1 (echo %ip%%%i 可以ping通)
)
pause
其他命令
nslookup
可以用来查看IP和域名的对应关系
netstat
netstat可以用来查看网络状态
netstat -a 可以用来查看本地机器的所有开放端口
netstat -n 以点分十进制的形式列出IP地址
tracert
可以查出数据从本地机器传输到目标主机所经过的所有途径
arp
查看本地计算机或另一台计算机的ARP告诉缓存中的当前内容
arp -d 删除所有动态arp表项,如下图,我们输入arp -d后在输入一次arp -a,就可以看到前面的都没有了
实训总结:
网络信息时代下,我们都在“裸奔”,想防止继续裸奔,就要从扒我们衣服的人下手,学习他们的方法来进行自我保护。努力学好网络安全技术。