今天学习了在用户登录界面用户名处输入万能密码admin’ or 1=1 --',密码处输入任意字符,点击登录,
项目使用PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。
之后进行了 XSS跨站防范
1、运行项目,在网站中寻找能够提交信息的文本框。
2、提交JS代码:,观察代码是否生效。
3、在项目中编写代码,在用户提交留言和评论信息时将<和>分别替换为>和<。
原因:在HTML中,某些字符是预留的。例如小于号 < 和大于号 > ,浏览器在解析他们时会误认为它们是标签。如果希望正确地显示预留字符,我们必须在HTML源代码中使用字符实体(character entities)。
下列为常见字符的实体转换表:
显示结果 描述 实体名称 实体编号
空格
< 小于号 < <
大于号 > >
& 和号 & &
" 引号 " "
’ 撇号 ’ (IE不支持) ’
之后进行了第三项上传攻击防范
1、运行项目,在网站中寻找能够上传文件的位置,尝试上传菜刀马。
2、分析项目源代码,找到项目在哪里对上传文件类型做了何种限制。
3、将菜刀马的文件后缀修改为图片类型,观察是否能够上传。
4、尝试获取图片地址,并使用中国菜刀进行连接,观察是否能够正常使用。
5、注释掉文件上传限制,上传jsp后缀的菜刀马,观察是否能够正常使用。