实训6 Web安全加固
实训目的
了解SQL注入的概念和基本原理。
了解XSS跨站的概念和基本原理。
了解上传漏洞的概念和基本原理。
掌握避免SQL注入攻击的基本方法。
掌握避免XSS跨站进行攻击的基本方法。
掌握避免上传漏洞进行攻击的基本方法。
实训准备及注意事项
1.硬件:装有Windows操作系统的计算机1台。
2.软件:myeclipse、sqlserver、blog项目。
3.严格按照实验步骤进行实验,实验结果以截图的形式进行保留。
实训任务1 SQL注入防范
1、部署并运行Blog项目,在用户登录界面用户名处输入万能密码admin’ or 1=1 --‘,密码处输入任意字符,点击登录,观察是否能绕过后台登录系统。
原因:项目使用PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。
2、在项目中找到用户登录模块所使用的关键SQL语句。
3、修改登录模块的SQL查询相关语句如下所示:
4、再次运行项目,使用万能密码admin’ or 1=1 --'进行登录,观察是否能够成功登录,登录的是谁的账号,思