web安全加固

Posted 2021-05-10 xiaoxiaojinglinger

实验准备：运行项目（将项目导入MyEclipse），导入数据库（设置权限为完全控制），【myeclipse中的sql部分连接用户名和密码要与数据库中相对应】。

SQL注入防范

• 运行项目，在用户登录界面用户名处输入万能密码admin’ or 1=1 --’，密码处输入任意字符，点击登录，观察是否能绕过后台登录系统。
  
• 在项目中找到用户登录模块所使用的关键SQL语句。
  
• 修改登录模块的SQL查询相关语句，再次运行项目，使用万能密码admin’ or 1=1 --'进行登录，观察是否能够成功登录（能够成功登陆）

跨站攻击防范

• 运行项目，在网站中寻找能够提交信息的文本框。提交JS代码：<　script>alert(“xxx”)<　/script>，观察代码是否生效。
  
• 在项目中编写代码，在用户提交留言时将<和>分别替换为>和<，再次在留言板中提交JS代码：<　script>alert(“xxx”)<　/script>，观察提交的代码是否能够正常显示。
  
• 在项目中编写代码，在用户提交文章评论时将<和>分别替换为>和<，再次在文章评论中提交JS代码：<　script>alert(“xxx”)<　/script>，观察提交的代码是否能够正常显示。
  
• 运行项目，在网站中寻找能够上传文件的位置，尝试上传菜刀马。观察是否能够上传成功
  
• 分析项目源代码，找到项目在哪里对上传文件类型做了何种限制。
  
  
• 将菜刀马的文件后缀修改为图片类型，观察是否能够上传。
  
  
• 注释掉文件上传限制，上传jsp后缀的菜刀马，观察是否能够正常使用。（此时已经可以使用了）
  
  

总结

• 运行项目前的准备要比较完善，比如数据库的导入（可能会存在系统较慢，有任务占用的情况），数据库的权限设置为完全控制，项目与数据库的连接要正确等。
• 在修改项目时，对文件存放位置要准确，写程序时要注意空格、字符等细节，对关键性的代码要有注释，方便查找和理解。