1.SQL注入防范
运行项目,开启sql服务,将项目的数据库导入sql server,然后用myeclipse8.5运行项目,在用户登录界面用户名处输入万能密码admin' or 1=1 --',密码处输入任意字符,点击登录,发现不能绕过后台登录系统。
在项目中找到用户登录模块所使用的关键SQL语句。
修改登录模块的SQL查询相关语句
再次运行项目,使用万能密码admin' or 1=1 --'进行登录,发现可以成功登录。
我们发现登录的账号是稻草人的账号,而观察数据库又发现,稻草人是数据库用户表格中的第一个用户。
2.跨站攻击防范
运行项目,在网站中寻找能够提交信息的文本框。提交JS代码:<script>alert("xxx")</script>,发现代码生效了。
在项目中编写代码,在用户提交留言时将<和>分别替换为>和<,再次在留言板中提交JS代码:<script>alert("xxx")</script>,发现提交的代码已经能够正常显示。
在项目中编写代码,在用户提交文章评论时将<和>分别替换为>和<,再次在文章评论中提交JS代码:< script>alert("xxx")< /script>,观察提交的代码是否能够正常显示。
3.上传攻击防范
运行项目,在网站中寻找能够上传文件的位置,尝试上传菜刀马。
发现上传失败了。通过分析项目源代码,找到了项目在某处对上传文件类型做了某种限制。它只允许上传jpg,png,gif文件。
将菜刀马的文件后缀修改为图片类型。再次上传发现上传成功。
尝试获取图片地址,并使用中国菜刀进行连接。能进入内部,但再进一步的点击文件夹则不可达。
注释掉文件上传限制,上传jsp后缀的菜刀马。所有功能均可正常使用。
时长一周的金融信息安全实训课到今天就结束了!时间虽短但却充实,学到了很多东西,从第一天的黑客与网络攻击,到最后一天的Web安全加固,学到了很多但也有很多没有学到。求知路上一望无尽,以后会继续学习,在此再次感谢我的教师——湛湛老师。