本文介绍了如何防止Web应用中的安全威胁,包括SQL注入的防范,通过修改SQL查询避免万能密码绕过登录;跨站脚本(XSS)攻击的防御,通过转义特殊字符阻止恶意代码执行;以及文件上传攻击的处理,限制上传文件类型以防止恶意文件执行。
-
1.SQL注入防范
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
1.1 运行项目,进入登录界面进行SQL注入漏洞测试,在用户登录界面用户名处输入万能密码admin' or 1=1 --',密码处输入任意字符,点击登录,不能绕过后台登录系统。
1.2 在项目中找到用户登录模块所使用的关键SQL语句,并修改登录模块的SQL查询相关语句,再次运行项目,使用万能密码admin' or 1=1 --'进行登录,能够成功登录。
此时登录的是数据库的第一个用户
最低0.47元/天 解锁文章
扫一扫
977
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
