Web文件加固
SQL注入防范
- 主要方法为:使用SQL语句注入绕过登录口令进行登录
- 使用PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。
- 修改登录模块的SQL查询语句后,使用万能密码admin’ or 1=1 --'进行登录,登录进入为稻草人账号,稻草人为数据库第一位的用户
XSS跨站防范
- 在可提交文本中提交JS语句,用户提交留言和评论信息时将<和>分别替换为>和<
- 在Html中某些字符是预留的,浏览器在解析时会误认为它们是标签,要正确的显示预留字符,必须在源代码中使用字符实体,可以有效防止跨站攻击
上传攻击防范
- 网站文件提交木马文件,并找到文件存储位置从而利用中国菜刀等木马工具网站
- 在避免被上传攻击时,对上传文件的格式进行限制,对常用的木马文件格式限制不能够上传成功。另外就是隐藏上传文件的存储路径。
- 积极使用多个安全检测工具对系统进行安全扫描,及时发现潜在漏洞并修复。定时查看系统日志,web服务器日志以发现痕迹。