《教育培训机构管理系统》安全测试

1.测试目的与范围

1.1. 测试目的

本次测试的目的是为了评估教育机构管理系统的安全性，发现其中的漏洞和弱点，以便修复它们并提高其安全性。通过安全测试，可以确保系统或应用程序在实际运行中能够抵御各种安全威胁和攻击，从而保障组织的数据和资产不受损失。安全测试可以包括对系统、应用程序或网络的各个方面进行测试，例如身份验证、访问控制、加密、漏洞扫描等，旨在发现潜在的安全风险并提供解决方案，以提高系统或应用程序的安全性和可靠性。

2. 测试工具及资源

2.1. 测试工具

Sqlmap：一个自动化的SQL注入工具，其主要功能是扫描、发现并利用给定URL的SQL注入漏洞，内置了很多绕过插件，支持的数据库是MySQL 、Oracle 、PostgreSQL 、Microsoft SQL Server、Microsoft Access 、IBM DB2, SQ Lite 、Firebird 、Sybase和SAPMaxDB。

2.2. 测试资源

本次测试使用了以下测试资源：

测试环境：使用了一台计算机作为测试环境，部署了教育机构管理系统的后端程序和数据库，提供了端口号。
测试数据：使用了一些模拟的用户信息、招生计划信息、评论信息、课程信息等作为测试数据，存储在数据库中，用于进行安全测试。

3. 测试记录及结果分析

3.1. 安全测试

3.1.1. 测试结果数据

使用sqlmap输入“python sqlmap.py -u "http://172.24.122.29:8000/customer/id=1"”进行sql注入攻击测试。得出以下结果，如下图所示：

结果：sql注入失败，无法得到想要的结果。

3.1.2. 结果分析

由于本系统使用的是springboot这种开发框架，自带了防止SQL注入技术，在MybatisPlus框架下的实现了阻止SQL注入手段。在执行SQL查询或更新之前，SpringBoot会创建一个预处理语句（Prepared Statement），该语句会自动通过参数绑定来过滤所有输入的用户数据，从而避免了SQL注入。具体来说，SpringBoot将所有输入数据作为参数传递给SQL查询或更新语句，而不是将它们直接插入到语句中。在运行时，数据库会将这些参数绑定到预编译语句中，而不是直接拼接到SQL字符串中。这样可以确保输入的所有数据都会得到正确的处理，并且避免了恶意用户注入任意代码。

4. 测试结论

本次安全测试的结论如下：

Mybatis-Plus 是 Mybatis 的增强工具，在防止 SQL 注入方面也提供了一些解决方案，主要有以下几种：

1.使用内置的 CRUD 方法

Mybatis-Plus 内置了许多 CRUD 方法，如 selectById、insert、updateById 等，这些方法都会对参数进行预编译，从而有效地防止了 SQL 注入。

2.使用 @Param 注解

在使用 Mybatis-Plus 提供的自定义 SQL 时，可以使用 @Param 注解给参数命名，例如：

java复制代码

@Select("SELECT * FROM user WHERE name = #{name} AND age = #{age}")

List<User> selectByNameAndAge(@Param("name") String name, @Param("age") Integer age);

这样就能够确保参数值不会被当做 SQL 语句的一部分来执行。

3.使用实体类作为参数

还可以将实体类作为参数传递到自定义 SQL 中，Mybatis-Plus 会根据实体类中的属性值来生成预编译语句，从而避免 SQL 注入的风险。例如：

java复制代码

@Select("SELECT * FROM user WHERE name = #{user.name} AND age = #{user.age}")

List<User> selectByUser(@Param("user") User user);

4.使用 SQL 注入器

Mybatis-Plus 还提供了一个 SQL 注入器的接口 ISqlInjector，可以进行自定义 SQL 注入器的开发，实现更加灵活的 SQL 注入防御。