本文共 667 字，大约阅读时间需要 2 分钟。

Web安全加固

1.准备工作（项目部署）

• 在SQL2012中附加项目相关数据库
• 在my eclipse中导入项目
• 存在的问题

         运行index.jsp.页面找不到的原因：

             a.数据库中没有赋予mdf文件所有权限。

             b.如下图：数据库用户名称和密码与java后台的用户名密码没有对应上。

             c.……

2.SQL注入防范：

实现绕过密码登录

直接使用万能密码“admin' or 1=1 --'”进行用户登录，登录失败;原因是项目中的java文件采用了一定的手段避免了绕过密码登陆的可能性，如图无法登陆；

解决方法：

添加永真SQL代码，可以使用“万能密码”实现绕过密码登陆，且登录账户默认为数据库中的第一个用户。

如图所示，登陆成功：

3.跨站攻击防范

• 留言失败

在任意博主主页下面进行留言，留言内容为js代码：<script>alert("xxx")</script>

并不能留言成功，且代码不会生效，如下图所示：

• 在项目中编写代码，在用户提交留言和评论信息时将<和>分别替换为&gt;和&lt;

留言成功，显示代码内容:

4.上传攻击防范

利用中国菜刀黑客工具，在网站中寻找能够上传文件的位置，上传菜刀马：

<1>直接上传；因为源代码对上传文件格式有所限制,如下图所示：

所以直接上传jsp文件，一定不会上传成功：

<2>通过修改jsp文件后缀，改为源代码所支持的格式如.jpg格式，可以上传成功，也可以与中国菜刀进行连接，但不能正常使用。

<3>注释掉文件上传限制，直接上传后缀为jsp的菜刀马，可以上传成功且能正常使用，如下图所示：