web安全加固

最新推荐文章于 2023-12-04 15:44:12 发布
最新推荐文章于 2023-12-04 15:44:12 发布
阅读量1.1k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45646177/article/details/116492515
版权

目录

web漏洞

web安全加固

SQL注入防范

命令注入防范

上传文件防范

web漏洞

WEB漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞。如果网站存在WEB漏洞被人利用,其可以轻易控制整个网站,并可进一步提权获取网站服务器权限,控制整个服务器。常见的漏洞利用有密码登录绕过,命令注入,跨站请求伪造,文件上传,SQL注入,跨站反击等。

web安全加固

在了解到漏洞之后我们可以对我们的网站进行安全加固

SQL注入防范

手下我们可以部署一个blog项目。同上面一样,输入万能密码,构造一个永真的语句,绕过后台登录系统,发现不可以登录成功。

原因是项目使用了PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。

String sql="select * from tb_user where user_name= ? and user_pswd= ? "

要想绕过,直接登录,我们可以找到SQL语句,对其进行做如下修改

String sql="select * from tb_user where user_name='"+params[0]+"' and user_pswd='"+params[1]+"'";

所以我们在写登录语句时为了提高安全性,可以按照修改之前的来进行

命令注入防范

在博客的留言板或者评论区中,我们可以输入一下语句

<script>alert("xxx")</script>

发现出现了XXX的提示框

在HTML中,某些字符是预留的。例如“<”和“>”,浏览器在解析它们时会误认为它们时标签。如果希望正确的显示预留字符,我们必须在HTML源代码中使用字符实体。可以在系统的留言板和评论区的代码位置编写如下代码

content=content.replace("<", "&lt");
content=content.replace(">", "&gt");

当我们再次在留言板或者评论区输入同样的语句时,就不会再弹出框了

上传文件防范

我们可以重复之前的上传文件的步骤,在项目中找到能够上传文件的地方,然后上传一句话木马。但是我们发现不能够上传。

这说明在后台对上传文件的类型做了限制。

如果我们将文件改成jpg等格式,发现虽然能够上传,但是菜刀上面不能进入目录

我们再改变一下将文件的编码都改成utf-8,发现仍然会出现错误,注释掉限制语句,会发现仍然会出现错误,不能进入正确目录

看见星星
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【学习分享】常见Web漏洞原理及加固措施
Victor1889的博客
06-30 562
今天和同学们分享下常见的Web漏洞原理及对应的加固措施,还有这些漏洞经常会出现的位置。OWASP Top10和漏洞原理及其加固措施也是网络安全工程师面试的常见试题。基于个人水平有限,部分描述采集自pikachu靶场和所学课程中,我个人认为更加精确的描述,以便大家理解,将其总结归纳如下,希望同学们共同进步 :)
2021-05-07
qq_44825720的博客
05-07 240
实训6 Web安全加固 实验目的 了解SQL注入的概念和基本原理。 了解XSS跨站的概念和基本原理。 了解上传漏洞的概念和基本原理。 掌握避免SQL注入攻击的基本方法。 掌握避免XSS跨站进行攻击的基本方法。 掌握避免上传漏洞进行攻击的基本方法。 实验任务1 SQL注入防范 1、运行项目,在用户登录界面用户名处输入万能密码admin' or 1=1 --',密码处输入任意字符,点击登录,观察是否能绕过后台登录系统。 原因:项目使用PreparedStatement方法完成
服务器安全与应用——数据库安全加固web安全加固
m0_60643467的博客
10-12 444
比如:/var/www/html/bbs/config/config_ucenter.php 记录了后台Web系统如何访问数据库。比如:/var/www/html/bbs/config/config_global.php 记录了前台Web系统如何访问数据库。⚠️云服务商会提供安全防护产品(基础主机防护、云备份、WAF防火墙、DDoS高防、负载均衡、CDN等)默认配置的httpd允许自动列出目录下所有资源,也允许链接文件指向外部目录。⚠️默认情况下,各种云服务器的防护墙、SELinux都是关闭的。
Web安全加固
weixin_45713721的博客
05-07 323
Web安全加固 1.准备工作(项目部署) 在SQL2012中附加项目相关数据库 在my eclipse中导入项目 存在的问题 运行index.jsp.页面找不到的原因: a.数据库中没有赋予mdf文件所有权限。 b.如下图:数据库用户名称和密码与java后台的用户名密码没有对应上。 c.…… 2.SQL注入防范: 实现绕过密码登录 直接使用万能密码“admin' or 1=1 --'”进行...
Proxmox VE(PVE)+ceph+物理网络规划-超融合生产环境安装部署案例
热门推荐
hanziqing的博客
03-01 3万+
Proxmox VE 是用于企业虚拟化的开源服务器管理平台。它在单个平台上紧密集成了KVM虚拟机管理程序和LXC,软件定义的存储以及网络功能。借助基于Web的集成用户界面,您可以轻松管理VM和容器,高可用性群集或集成的灾难恢复工具。 同时Proxmox VE对接Proxmox备份服务器,可实现对VM、容器的全量和增量备份,可显著减少网络负载并节省宝贵的存储空间。 2 环境介绍 本文章所述环境采用3台物理服务器(含4口万兆网卡),1台万兆业务交...............
【中间件加固】WebSphere安全加固规范
时乙的博客
11-06 465
1. 适用情况 适用于使用WebSphere进行部署的Web网站。 2. 技能要求 熟悉WebSphere安装部署,熟悉WebSphere常见漏洞利用方式,并能针对站点使用WebSphere进行安全加固。 3. 前置条件 根据站点开放端口,进程ID,确认站点采用WebSphere进行部署; 找到WebSphere站点位置 4. 详细操作 4.1账号安全 参考配置操作: 1、修改用户口令,口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号四类中至少 3 类。 4....
Web安全漏洞加固手册 V2.0
03-17
Web安全漏洞加固手册 V2.0
Web安全加固.pdf
10-10
web工程加密常见手段,仅供分享,也是学历的参考资料,具体请以测试要求为准
tomcat安全加固手册
最新发布
05-09
因为Tomcat 技术先进、性能稳定,而且免费,因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可,成为比较流行的Web 应用服务器。 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器...
web安全漏洞加固手册
06-22
本文档是关于 Web 安全漏洞加固手册的详细指南,旨在帮助开发者和安全专家了解和解决常见的 Web 安全漏洞。该手册涵盖了认证和授权类、命令执行类、文件上传类等多种类型的漏洞,提供了详细的检测和修复方案。 认证...
linux web 安全加固理论-漏洞银行大咖面对面21-裤衩哥
09-05
信息安全:指保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。 信息安全保障:是保证信息与信息系统的保密性、完整性、...
AWD比赛入门攻略总结
zkaqlaoniao的博客
11-14 1346
攻防模式 | AWD (Attack With Defense) 」 是 CTF比赛 「CTF Capture The Flag」 几种主要的比赛模式之一,该模式常见于线下赛。在该模式中,每个队伍都拥有一个相同的初始环境 ( 我们称其为 GameBox ),该环境通常运行着一些特定的服务或应用程序,而这些服务通常包含一些安全漏洞。参赛队伍需要挖掘利用对方队伍服务中的安全漏洞,获取 Flag 以获得积分;同时,参赛队伍也需要修补自身服务漏洞进行防御,以防被其他队伍攻击和获取 Flag。
Tomcat服务安全加固和优化
qq_40907977的博客
02-09 3367
转载来源 : https://help.aliyun.com/knowledge_detail/37421.html?spm=a2c4g.11186623.4.5.4ad6510eY2UhOS 介绍 tomcat服务默认启用了管理后台功能,使用该后台可直接上传 war 文件包对站点进行部署和管理。由于运维人员的疏忽,可能导致管理后台存在空口令或者弱口令的漏洞,使得黑客或者不法分子可以利用该漏洞直接...
2023年甘肃省职业院校技能大赛(中职教师组)网络安全竞赛样题(三)
旺仔Sec&blog
12-04 290
5.利用上题中的数据库账户密码在登陆数据库,通过select ''************ 'C:/phpstudy/shell.php'语句向服务器提交名为shell.php的一句话木马,将语句中*号的明文作为Flag值(*为大写字母或者空格)提交;4.在上一题的基础上使用命令调用该模块,并查看需要配置的信息(使用show options命令),将回显中需要配置的目标地址,密码使用的猜解字典,线程,账户配置参数的字段作为Flag值(字段之间以英文逗号分隔,例hello,test,..,..)提交;
金融信息安全实训-web安全加固
m0_45652034的博客
04-29 1326
金融实训周-安全
网站及服务器安全加固常用手段
zrc_xiaoguo的博客
10-20 553
使用网络流量分析工具:网络流量分析工具可以捕获、分析和识别流量特征,可以通过检查数据包的来源和目的地、协议、端口、流量带宽等特征识别和拦截攻击流量。请注意,为了更好的安全性,建议尽可能地将密钥保存在安全的地方,并按照最佳实践来确保应用程序和服务器的安全性。使用网络防火墙:网络防火墙可以过滤和阻止进入网络的恶意流量,包括拒绝来自未知来源或特定来源的流量,限制流量的带宽和协议类型等。5. SNMP服务 - 默认端口为161和162,这是一个用于监控网络设备的服务,但它容易受到攻击,因此应该限制访问权限。
web安全漏洞加固方案简析
weixin_34087301的博客
05-13 1806
2019独角兽企业重金招聘Python工程师标准>>> ...
管理员应该如何加固Web服务器
系统运维
12-21 291
微软的IIS打造一个WEB服务器是件非常简单的事情,但是它 的安全性实在不敢恭维。攻击者通过注入、上传、旁注等技术获得了某个网站的 Webshell,然后进一步渗透提权,直至控制整个Web服务器。至于如何让攻击者无缘Webshell那是代码部分的问题,我 们做为管理员应该如何加 固Web服务器,让攻击者在获得了 Webshell之后无功而返呢?   一、设置命令权限   默认设置下,web...
TongWeb及应用系统安全加固
web的博客
03-31 8862
前言 本文档主要面向运维人员说明常见的TongWeb5、TongWeb6、TongWeb7安全加固的配置方法。 TongWeb配置 一、首先建议TongWeb升级到最新版本,早期版本存在一些代码级安全漏洞,无法通过配置解决。截止2021年1月5日TongWeb最新版本号为7.0.4.2。 二、TongWeb禁用不安全的HTTP方法,可登录控制台,进入“http通道管理”进行设置。 TongWeb5禁用不安全的HTTP方法,需在应用的web.xml中增加如下内容,并重........

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值