金融信息安全实训-07

最新推荐文章于 2022-05-25 22:58:39 发布
最新推荐文章于 2022-05-25 22:58:39 发布
阅读量164 收藏
点赞数
文章标签: 其他 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53849665/article/details/124421531
版权

课堂笔记

实训6 Web安全加固

实训目的
了解SQL注入的概念和基本原理。
了解XSS跨站的概念和基本原理。
了解上传漏洞的概念和基本原理。
掌握避免SQL注入攻击的基本方法。
掌握避免XSS跨站进行攻击的基本方法。
掌握避免上传漏洞进行攻击的基本方法。
实训准备及注意事项
1.硬件:装有Windows操作系统的计算机1台。
2.软件:myeclipse、sqlserver、blog项目。
3.严格按照实验步骤进行实验,实验结果以截图的形式进行保留。

实训任务1 SQL注入防范

  1. 部署并运行Blog项目,在用户登录界面用户名处输入万能密码admin’ or 1=1 --',密码处输入任意字符,点击登录。

在这里插入图片描述

原因:项目使用PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。

  1. 在项目中找到用户登录模块所使用的关键SQL语句。在这里插入图片描述

  2. 修改登录模块的SQL查询相关语句如下所示:
    在这里插入图片描述

  3. 再次运行项目,使用万能密码admin’ or 1=1 --'进行登录。

实训任务2 XSS跨站防范

  1. 运行项目,在网站中寻找能够提交信息的文本框。提交JS代码:<script>alert("xxx")</script>,观察代码是否生效。
  2. 在项目中编写代码,在用户提交留言和评论信息时将<和>分别替换为>和<。
content=content.replace("<","&lt;");
content=content.replace(">","&gt;");

原因:在HTML中,某些字符是预留的。例如小于号 < 和大于号 > ,浏览器在解析他们时会误认为它们是标签。如果希望正确地显示预留字符,我们必须在HTML源代码中使用字符实体(character entities)。
在这里插入图片描述
3. 再次在留言板和文章评论中提交JS代码:<script>alert("xxx")</script>,观察提交的代码是否能够正常显示。

实训任务3 上传攻击防范

1、运行项目,在网站中寻找能够上传文件的位置,尝试上传菜刀马。
2、分析项目源代码,找到项目在哪里对上传文件类型做了何种限制。
3、将菜刀马的文件后缀修改为图片类型,观察是否能够上传。
4、尝试获取图片地址,并使用中国菜刀进行连接,观察是否能够正常使用。
5、注释掉文件上传限制,上传jsp后缀的菜刀马,观察是否能够正常使用。

三乐er
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
金融信息安全实训--Web漏洞利用
jyr2014的博客
06-11 113
1、安装phpstudy,安装完成后启动phpStudy主界面,当看到 Apache 和 MySQL 文字后面红色的圆点变成绿色时,表示服务启动成功。如下图所示:2、将DWVA压缩包解压到phpStudy的WWW文件夹中。如下图所示:3、配置DVWA链接数据库,打开config文件夹,打开config.inc.php,需要把db_password 修改成root,保存(因为前面刚安装好的集成环境默认的MYSQL用户名和密码为root root)。如下图所示:4、访问...
金融信息安全实训--网站漏洞利用
jyr2014的博客
06-11 1393
1、安装IIS相关环境并利用IIS服务器发布靶站源代码(注意应用程序池使用.net 4.0并开启.NET服务)2、cmd运行如下命令:“%WINDIR%Microsoft.NET\Framework\v4.0.30319\aspnet_regiis.exe" -iru -enable在计算机管理中找到”服务“,开启asp.net服务 3、在IIS里部署网站,应用程序池选择.net 4.0,在该应用池的高级设置中把32位应用程序设置为True 4、成功部署IIS web站点后,使用IE浏览器打开站点。...
金融信息安全实训-web安全加固
m0_45652034的博客
04-29 1338
金融实训周-安全
金融信息安全实训-02
m0_53849665的博客
04-19 450
课堂笔记 网络探查与端口扫描 局域网探查工具LanSee 其他主机在局域网中共享一些文件。 运行网络查看工具LanSee.exe。 点击设置,输入要探查的ip地址段。 点击开始进行探查,观察探查结果。 端口扫描工具AdvancedPortScanner 打开AdvancedPortScanner软件,在主界面中选择Use range选项,填入准备扫描的网段或主机IP。 选择Options-Configuration命令,此时打开Options对话框,在这里可以设置扫描属性,包括扫描时延、线程优先级、线
金融信息安全实训课--安全技术篇
cc_love_program的博客
05-25 527
信息的安全防护却为一个引人关注之重大问题,信息之战的重要也逐渐提高中。以往对于安全的防护仅知道防火墙,杀毒软件之类的方式,通过本次课程的学习,我了解到了信息安全的概貌: 信息安全的技术对策主要包括:防火墙技术、数据加密技术、安全认证技术、安全协议四大类。 防火墙技术 从狭义上来讲,防火墙是指安装了防火墙软件的主机或路由器系统;从广义上讲,防火墙还包括了整个网络的安全策略和安全行为。 数据加密技术 又可分为对称加密技术和非对称加密技术。 对称密钥加密技术利用一个密钥对数据进行加密,对方接收到数据后,需要用同一
金融信息安全实训-04
m0_53849665的博客
04-20 1045
课堂笔记 实训任务3 公钥加密算法 RSA.cpp #include<stdio.h> #include<string.h> #include<math.h> #include<stdlib.h> #include<algorithm> using namespace std; int prime[1305];//存放素数 int p[10005];//用筛选法求素数 void PRIME(){ int i,i2,k; for(i=0
金融信息安全实训-05
m0_53849665的博客
04-21 461
课堂笔记 身份认证与口令加密 弱口令爆破工具的使用 使用ftp工具在本机部署ftp服务,设置用户名为admin,密码为admin@123 利用字典进行爆破,截爆破结果图 开启本机的sql server服务,爆破sqlserver的管理员账户密码 口令强度判断 password.cpp 判断用户输入的口令强度 #include<stdio.h> int main(){ char s[100]; while(true){ int i,sum=0; int a=0,b=0,c=0,d=0
金融信息安全实训-笔记1
qq_44144144的博客
05-06 86
黑客:起源于20世纪50年代的一群精通计算机操作的人员,一开始代表着对计算机网络世界自由探索的,后来产生了恶意破坏计算机网络的人员,黑客逐渐开始有贬义的含义。因此黑客被分为以下几种类别。 白帽子创新者:钻研技术,勇于创新 黑客 灰帽子破解者:发现漏洞,为人民服务 黑帽子破坏者:随意使用资源,恶意破坏 脚本小子:借用其他人写的程序,恶意搞破坏,知识面远未达到黑客的境界 入侵三部曲1.预攻击:收集信息,获得域名及IP分布。端口和服务等 ...
金融信息安全实训--DVWA、跨站攻击
qq_53031736的博客
05-25 220
DVWA、跨站攻击
学校实训毕业商用项目-金融网站源码.zip
09-04
本项目是一个学校实训毕业商用项目,主要涉及到金融网站的开发,包含了前端界面设计与后端功能实现。通过学习和实践这个项目,学生可以深入理解Web应用的开发流程,提升自己的编程技能,为将来进入IT行业打下坚实的...
学校实训毕业商用项目-响应式金融服务机构网站源码-手机自适应.zip
09-04
该压缩包文件“学校实训毕业商用项目-响应式金融服务机构网站源码-手机自适应.zip”包含了一个完整的响应式金融服务机构网站的源代码,适用于学校实训和毕业编程项目。源码设计的核心特点是能够自适应不同设备,包括...
学校实训毕业商用项目-金融银行公司企业网站源码.zip
09-04
该压缩包文件“学校实训毕业商用项目-金融银行公司企业网站源码.zip”是一个用于学校实训和毕业设计的商业级项目,旨在帮助学生理解和实践如何构建一个金融银行类的企业网站。这个项目涵盖了前端开发和网站内容管理...
学校实训毕业商用项目-金融股票类网站源码-含手机端同步.zip
09-04
本项目是一个学校实训毕业商用项目,专注于金融股票类网站的开发,包含完整的前端源码,并且支持手机端同步,这是一套全方位的Web应用解决方案,旨在为用户提供实时、便捷的股票交易信息查询与分析功能。下面将详细...
学校实训毕业商用项目-金融理财类网站源码-含手机端同步.zip
09-04
6. **安全性**:考虑到金融信息的敏感性,项目中必须重视安全措施,如使用HTTPS加密传输、防止SQL注入、XSS攻击等,同时还需要实现实名认证和支付接口的安全集成。 7. **API接口**:为了实现手机端同步,项目可能...
QT属性动画--设置样式属性(其他属性)
lizequan的博客
03-02 5452
这里写自定义目录标题故事背景遇到的问题解决过程最终方法感悟 故事背景   最近在制作一个按钮切换的动画特效中接触了属性动画这部分内容,并由此产生了一些思考。 遇到的问题 解决过程 最终方法 感悟 ...
Volatile的其他特性
我想月薪过万的博客
03-03 3955
2.1 volatile总体概览 在上一节中,我们已经研究完了volatile可以实现并发下共享变量的可见性,volatile除了保证可见性外,volatile还具备如下一些突出的特性: volatile的原子性问题:volatile不能保证原子性操作 禁止指令重排序:volatile可以防止指令重排序操作 2.2 volatile不保证原子性 2.3 代码测试 package Ls; /** * 目标:研究Volatile的原子性操作 * <p> * 基本观点:V.
【安卓基础】Android直接通过路径来操作其他应用的私有目录,可以吗?
m0_48179608的博客
03-02 7686
在上篇文章[【安卓基础】一文搞懂Android历代版本文件访问权限变化](https://blog.csdn.net/m0_48179608/article/details/122838494)我们对同一个应用的的文件访问权限做了比较。 那么不同应用之间文件访问又有什么限制呢?我们准备分二到三篇文件来阐述。 这篇文章,主要来看下不同系统版本下,我们直接通过路径来访问其它应用的**内部存储、外部存储私有目录**,看看能不能访问以及不同系统版本的区别。
Silane-PEG-NHS,SIL-PEG-NHS,可以用来修饰蛋白质、多肽以及其他活性基团,NHS-PEG-Silane
qq_39152602的博客
03-03 3592
英文名称:Silane-PEG-NHS 中文名称:硅烷-聚乙二醇-活性酯 分子量:1k,2k,3.4k,5k,10k,20k(可按需定制) 质量控制:95%+ 存储条件:-20°C,避光,避湿 用 途:仅供科研实验使用,不用于诊治 外观: 固体或粘性液体,取决于分子量 注意事项:取用一定要干燥,避免频繁的溶解和冻干 溶解性:溶于大部分有机溶剂,如:DCM、DMF、DMSO、THF等等。在水中有很好的溶解性 取用:现配现用,将包装从冰箱中取出,置于干燥器中缓慢升至室温,打开瓶盖,取用。取用.
金融学科VR实训室:虚拟仿真教学平台设计与实施
第六章关注信息安全体系的建设,强调了在虚拟实训环境中保障数据安全的重要性,提出了相应的解决方案。 第七章则是施工组织设计,包括确保工程按期完成的技术措施、安全生产的保障措施,以及施工总平面布置的规划,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值