摘要:
很多情况因为过滤不严导致很多网站存在sql注入,这里以用户登陆为例,简单举例 首先创建一个测试的数据库 比较基础,不写创建过程了 java代码如下: 运行 输入正确账号密码可以登陆成功。这里可以被绕过。 很显然这是万能密码。那么如何去修复sql注入呢,这里比较好的方法是采用预编译的开发方式,这是个开 阅读全文
摘要:
技术实在是有限,讲解cookie越权的时候可能有点简单和粗糙。这里就简单记录学习下。 首先自己写一段存在漏洞的代码code: sendCookie.java 然后接收cookie中的键值,然后进行判断 先访问sendCookie然后访问getCookie: 默认是进入admin系统 因为cookie 阅读全文
摘要:
从Java的角度谈下文件下载漏洞的产生,然后到他的修复方案。这里我的修复方案是白名单,而没有采用黑名单的方式。 首先先看一段存在文件下载漏洞的代码code: HTML视图页面 download.html 服务器端验证文件下载代码: downloadServlet2.java代码如下: 这段代码是是存 阅读全文