Web安全加固

1.SQL注入防范

运行项目，开启sql服务，将项目的数据库导入sql server，然后用myeclipse8.5运行项目，在用户登录界面用户名处输入万能密码admin' or 1=1 --'，密码处输入任意字符，点击登录，发现不能绕过后台登录系统。

在项目中找到用户登录模块所使用的关键SQL语句。

修改登录模块的SQL查询相关语句

再次运行项目，使用万能密码admin' or 1=1 --'进行登录，发现可以成功登录。

我们发现登录的账号是稻草人的账号，而观察数据库又发现，稻草人是数据库用户表格中的第一个用户。

 

2.跨站攻击防范

 运行项目，在网站中寻找能够提交信息的文本框。提交JS代码：<script>alert("xxx")</script>，发现代码生效了。

在项目中编写代码，在用户提交留言时将<和>分别替换为>和<，再次在留言板中提交JS代码：<script>alert("xxx")</script>，发现提交的代码已经能够正常显示。

在项目中编写代码，在用户提交文章评论时将<和>分别替换为>和<，再次在文章评论中提交JS代码：<　script>alert("xxx")<　/script>，观察提交的代码是否能够正常显示。

 

3.上传攻击防范

运行项目，在网站中寻找能够上传文件的位置，尝试上传菜刀马。

发现上传失败了。通过分析项目源代码，找到了项目在某处对上传文件类型做了某种限制。它只允许上传jpg，png，gif文件。

将菜刀马的文件后缀修改为图片类型。再次上传发现上传成功。

尝试获取图片地址，并使用中国菜刀进行连接。能进入内部，但再进一步的点击文件夹则不可达。

注释掉文件上传限制，上传jsp后缀的菜刀马。所有功能均可正常使用。

 

时长一周的金融信息安全实训课到今天就结束了！时间虽短但却充实，学到了很多东西，从第一天的黑客与网络攻击，到最后一天的Web安全加固，学到了很多但也有很多没有学到。求知路上一望无尽，以后会继续学习，在此再次感谢我的教师——湛湛老师。