金融信息安全实训——Web安全加固

已于 2022-05-12 15:17:30 修改
阅读量141 收藏
点赞数
文章标签: 系统安全 安全性测试 数据库 sql
于 2022-05-12 15:15:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50726412/article/details/124731499
版权
这篇博客主要介绍Web安全加固的实训内容,包括SQL注入防范、XSS跨站防范和上传攻击防范。通过一系列的实训任务,如模拟SQL注入攻击、XSS攻击和文件上传漏洞,详细阐述了如何防止这些常见的安全威胁。实训涵盖了从理解概念到实际操作的全过程,旨在提升金融信息系统安全能力。
摘要由CSDN通过智能技术生成

实训6 Web安全加固

实训目的

了解SQL注入的概念和基本原理。
了解XSS跨站的概念和基本原理。
了解上传漏洞的概念和基本原理。
掌握避免SQL注入攻击的基本方法。
掌握避免XSS跨站进行攻击的基本方法。
掌握避免上传漏洞进行攻击的基本方法。

实训准备及注意事项

1.硬件:装有Windows操作系统的计算机1台。
2.软件:myeclipse、sqlserver、blog项目。
3.严格按照实验步骤进行实验,实验结果以截图的形式进行保留。

实训任务1 SQL注入防范

1、部署并运行Blog项目,在用户登录界面用户名处输入万能密码admin’ or 1=1 --‘,密码处输入任意字符,点击登录,观察是否能绕过后台登录系统。
原因:项目使用PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。
2、在项目中找到用户登录模块所使用的关键SQL语句。
3、修改登录模块的SQL查询相关语句如下所示:
在这里插入图片描述
4、再次运行项目,使用万能密码admin’ or 1=1 --'进行登录,观察是否能够成功登录,登录的是谁的账号,思

最低0.47元/天 解锁文章
看个星星(♡˙︶˙♡)
关注
国防网络安全与数据治理研究
fzq0625的博客
09-08 1008
摘要健全和完善我国国防网络安全和数据治理架构,既是国家网络安全与数据治理的重要一环,也是在《数据安全法》框架下细分领域内的重要实践。运用比较分析和文献分析法,提炼美国2013—2022年《国防授权法》中国防网络安全与数据治理的逻辑特征,吸收美国国防网络安全与数据治理的成功经验,完善我国国防网络安全与数据治理的总体架构。总体国家安全观下的国防网络安全与数据治理需要兼顾传统安全与非传统安全建设的核心要素,完善国防网络与数据安全的专项立法、构建政民预警交互意识和政企合作交互布局的“双重交互”体系,完善我国国防网络
web安全加固
weixin_53690010的博客
06-01 939
一.Blog项目部署 在进行实训6web安全加固的任务中,需要布置blog项目,主要用到的软件有:myeclipse,sqlserver。首先打开sqlserver服务器,然后连接数据库,将已有的db_mediaBlog附加到数据库中,在此过程之前要先将两个db文件作出如下操作:右键属性~安全~Administrators~编辑~将安全控制设置为允许。下图的两个文件 打开myeclipse,将blog项目导入。导入后文件会报错:1.在properties中修改为UTF-82.在DB.java中将密码进行修
实验记录三之安全加固
qq_54580973的博客
05-07 159
注意:这仅仅只是一次实验的记录!!!! 实验准备及注意事项 实验前要把电脑上的防火墙全部关掉才能开始实验。 首先要在myeclipse中导入项目,将数据库附加到sqlserver。 可能遇到的问题: 项目代码中sql的用户名密码可能与自己电脑上不同,需要在DB.java中更改相关代码。 数据库连接不成功时,要检查数据库文件的属性是否更改,要将完全控制勾选上。 实验任务1 SQL注入防范 1、运行项目,在用户登录界面用户名处输入万能密码admin’ or 1=1 --’,密码处输入任意字符,点击登录,
2021-05-07
qq_44825720的博客
05-07 249
实训6 Web安全加固 实验目的 了解SQL注入的概念和基本原理。 了解XSS跨站的概念和基本原理。 了解上传漏洞的概念和基本原理。 掌握避免SQL注入攻击的基本方法。 掌握避免XSS跨站进行攻击的基本方法。 掌握避免上传漏洞进行攻击的基本方法。 实验任务1 SQL注入防范 1、运行项目,在用户登录界面用户名处输入万能密码admin' or 1=1 --',密码处输入任意字符,点击登录,观察是否能绕过后台登录系统。 原因:项目使用PreparedStatement方法完成
Windows系统Web应用安全加固
weixin_40050195的博客
11-08 542
如果我们已经把Web应用架构在一套基于Windows系统的环境中,应该怎么进行哪些有效的安全配置,来减少安全风险呢?我们应该在什么地方和如何进行操作呢? 本认证旨在帮助学员掌握架构在Windows环境中Web应用涉及的操作系统、数据库、中间件应用等的常见安全加固方法,通过正确的安全配置并及时更新,可以极大的降低安全风险。 关于Windows系统Web应用安全加固的详细内容点击: Apsara...
2024年网安最新网络安全综合实训
最新发布
2401_84264583的博客
05-03 811
实验9 加解密编程(一)代码实验10加密解密编程(二)代码实验11加解密编程(三)代码。
蓝盾实训营day8——IIS安全加固与证书签发
mingC0758的博客
07-18 733
网站安全狗(IIS版) 安全狗一般有以下功能: 防止流量攻击 防止SQL注入 文件上传防护 防止一句话木马的执行 开启安全狗的防护功能: 对网站进行SQL注入测试: 显示请求被拦截。 回到安全狗,查看防护日志: 用菜刀连接一句话木马的时候会被拦截: Windows防火墙 开启防火墙后,所有外部连接都会被拒绝。 可以通过添加例外-端口,来开放某个端口供外部...
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
服务器系统加固详细记录
05-09
服务器windows系统和linux系统加固详细记录,加固前和加固后的结果都有记录,运维工程师可以根据加固建议值进行服务器加固,有需求的可以下载!
Linux系统Web应用安全加固
weixin_40050195的博客
08-10 1034
阿里云大学课程:Linux系统Web应用安全加固 课程介绍: 如果我们已经把Web应用架构在一套基于Linux系统的环境中,应该怎么进行哪些有效的安全配置,来减少安全风险呢?我们应该在什么地方和如何进行操作呢? Linux下Web安全加固认证旨在帮助学员掌握架构在Linux环境中Web应用涉及到的:操作系统、数据库、中间件应用等的常见安全加固方法,通过正确的安全配置并及时更新,可以极大的降低...
金融信息安全实训-web安全加固
m0_45652034的博客
04-29 1345
金融实训周-安全
Web安全加固
qq_53161816的博客
05-07 298
1.SQL注入防范 运行项目,开启sql服务,将项目的数据库导入sql server,然后用myeclipse8.5运行项目,在用户登录界面用户名处输入万能密码admin' or 1=1 --',密码处输入任意字符,点击登录,发现不能绕过后台登录系统。 在项目中找到用户登录模块所使用的关键SQL语句。 修改登录模块的SQL查询相关语句 再次运行项目,使用万能密码admin' or 1=1 --'进行登录,发现可以成功登录。 我们发现登录的账号是稻草人的账号,而观察数据库又发现,稻草人是
华迪信息安全实训手册:HTTPS部署与网络攻防详解
信息安全操作手册是一本全面介绍信息安全技术的实用指南,涵盖了网络安全知识和网络攻防技术的相关内容。手册共分为五个部分,分别为: 1. **IIS部署HTTPS服务**: - HTTPS是基于SSL(Secure Socket Layer)的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值