网站应用程式弱点扫描修复学校网页模组经验分享.PDF

網站應用程式弱點掃描─ 修復學校網頁模組經驗分享 南投縣國姓國中 劉俊廷 Email : t18606@.tw 2013/09/27 1 有哪些修復方式? 2 彙整各種修復方式 3 彙整各種修復方式 4 有沒有簡單通用的方式? 5 如何開發夠安全的PHP網頁？- IT邦幫 忙::IT知識分享社群 我們建議採用資料庫提供的過濾函式，譬如 MySQL可以使用mysql_real_escape_string()濾 除跳脫字元，也免除了針對每個輸入都加上過 濾函式的繁瑣工作。 引用網址：.tw/question 6 SQL INJECTION修復實例 7 步驟一：查看弱點報告 8 步驟一：查看弱點報告 9 步驟一：查看弱點報告 判斷弱點畫面 10 步驟一：查看弱點報告 複製弱點網址 11 步驟一：查看弱點報告 閱讀修補建議 12 步驟一：查看弱點報告 修補建議 字元型參數注入點分析, 判斷是否存在SQL Injection漏洞, 直接從IE的URL網址列輸入資 料, 如果加入and5=5返回正常 （就是和原來 沒有加and5=5時頁面樣子的一樣),而加入 and5=6返回錯誤 （和原來沒有加and5=6 時頁面的樣子不一樣）, 就可以證明這個頁面 存在SQL Injection漏洞。 13 步驟二：開啟網頁測試(AND5=5 ) 測試方式 在網址變數後面加上and5=5 原始網址 .tw/school/discuss/perbasic. php?prgid=250 加上測試網址 .tw/school/discuss/perbasic. php?prgid=250and5=5 加上測試網址 .tw/school/discuss/perbasic. php?prgid=250and5=‘6 14 步驟三：下載要修復的網頁 3-1根據弱點報告裡的