Web安全加固

Posted 你掉头发了吗

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Web安全加固相关的知识,希望对你有一定的参考价值。

Web安全加固

1.准备工作(项目部署)

  • 在SQL2012中附加项目相关数据库
  • 在my eclipse中导入项目
  • 存在的问题

         运行index.jsp.页面找不到的原因:

             a.数据库中没有赋予mdf文件所有权限。

             b.如下图:数据库用户名称和密码与java后台的用户名密码没有对应上。

             c.……

2.SQL注入防范:

实现绕过密码登录

直接使用万能密码“admin' or 1=1 --'”进行用户登录,登录失败;原因是项目中的java文件采用了一定的手段避免了绕过密码登陆的可能性,如图无法登陆;

解决方法:

添加永真SQL代码,可以使用“万能密码”实现绕过密码登陆,且登录账户默认为数据库中的第一个用户。

如图所示,登陆成功:

 

 

 

3.跨站攻击防范

  • 留言失败

在任意博主主页下面进行留言,留言内容为js代码:<script>alert("xxx")</script>

并不能留言成功,且代码不会生效,如下图所示:

 

  • 在项目中编写代码,在用户提交留言和评论信息时将<和>分别替换为&gt;和&lt;

留言成功,显示代码内容:

 

4.上传攻击防范

利用中国菜刀黑客工具,在网站中寻找能够上传文件的位置,上传菜刀马:

<1>直接上传;因为源代码对上传文件格式有所限制,如下图所示:

所以直接上传jsp文件,一定不会上传成功:

 

<2>通过修改jsp文件后缀,改为源代码所支持的格式如.jpg格式,可以上传成功,也可以与中国菜刀进行连接,但不能正常使用。

<3>注释掉文件上传限制,直接上传后缀为jsp的菜刀马,可以上传成功且能正常使用,如下图所示:

 

以上是关于Web安全加固的主要内容,如果未能解决你的问题,请参考以下文章

Web安全加固

Web安全加固

Web安全加固

tomcat安全加固和规范

sqlserver安全加固

Apache漏洞利用与安全加固实例分析