在过滤器中判断URL是否被注入

最新推荐文章于 2024-07-20 17:13:40 发布
原创 最新推荐文章于 2024-07-20 17:13:40 发布 · 645 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #web.xml

本文介绍如何通过Java Servlet API获取HTTP请求的各种信息,并实现一个用于防止SQL注入攻击的过滤器。该过滤器能够检查请求URL中是否包含敏感字符,并在发现潜在威胁时将用户重定向到主页。
巩固知识:
//获取来源URL:
String fromURL = request.getHeader("Referer"); 

// /ssm/ser.do 
String url = request.getRequestURI();    

// http://localhost:8080/ssm/ser.do  
StringBuffer url_buffer = request.getRequestURL(); 

//常用的request头信息
    out.println("Protocol: " + request.getProtocol());   
    out.println("Scheme: " + request.getScheme());   
    out.println("Server Name: " + request.getServerName() );   
    out.println("Server Port: " + request.getServerPort());   
    out.println("Protocol: " + request.getProtocol());   
    out.println("Server Info: " + getServletConfig().getServletContext().getServerInfo());   
    out.println("Remote Addr: " + request.getRemoteAddr());   
    out.println("Remote Host: " + request.getRemoteHost());   
    out.println("Character Encoding: " + request.getCharacterEncoding());   
    out.println("Content Length: " + request.getContentLength());   
    out.println("Content Type: "+ request.getContentType());   
    out.println("Auth Type: " + request.getAuthType());   
    out.println("HTTP Method: " + request.getMethod());   
    out.println("Path Info: " + request.getPathInfo());   
    out.println("Path Trans: " + request.getPathTranslated());   
    out.println("Query String: " + request.getQueryString());   
    out.println("Remote User: " + request.getRemoteUser());   
    out.println("Session Id: " + request.getRequestedSessionId());   
    out.println("Request URI: " + request.getRequestURI());   
    out.println("Servlet Path: " + request.getServletPath());   
    out.println("Accept: " + request.getHeader("Accept"));   
    out.println("Host: " + request.getHeader("Host"));   
    out.println("Referer : " + request.getHeader("Referer"));   
    out.println("Accept-Language : " + request.getHeader("Accept-Language"));   
    out.println("Accept-Encoding : " + request.getHeader("Accept-Encoding"));   
    out.println("User-Agent : " + request.getHeader("User-Agent"));   
    out.println("Connection : " + request.getHeader("Connection"));   
    out.println("Cookie : " + request.getHeader("Cookie"));   
    out.println("Created : " + session.getCreationTime());   
    out.println("LastAccessed : " + session.getLastAccessedTime());



***********************************************
web.xml
<filter>
        <filter-name>URLFilter</filter-name>  
        <filter-class>com.shctc.util.URLFilter</filter-class>
        <init-param>
  		<param-name>sqlInj</param-name>
  		<param-value>java|String|and|exec|insert|select|delete|update|*|chr|mid|master|truncate|char|declare|;|-|+|,</param-value>
  	  </init-param>
    </filter>
    <filter-mapping>  
        <filter-name>URLFilter</filter-name>  
        <url-pattern>*.action</url-pattern>
    </filter-mapping>



Filter
public class URLFilter implements Filter{

	private static final long serialVersionUID = 12345L;

	Logger log =Logger.getLogger(URLFilter.class);
	private FilterConfig config=null;
	private String sqlInj="";

	public void init(FilterConfig config) throws ServletException{
		this.config=config;
		log.debug("FilterConfig:"+config);
		sqlInj=config.getInitParameter("sqlInj");
	}

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException{
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse resp = (HttpServletResponse) response;
		String UserIP = request.getRemoteAddr();
		String requestURL = req.getRequestURL()+ req.getQueryString();
		log.debug("******请求用户来源:"+req.getHeader("Referer"));
		log.debug("******请求用户IP地址:"+UserIP);
		log.debug("******请求URL:"+requestURL);

		String[] inj_stra=sqlInj.split("\\|"); 
		for (int i=0; i < inj_stra.length; i++){
			if (requestURL.indexOf(inj_stra[i])>=0){  
				log.debug("******返回主页了,因为请求URL中含有敏感字符:"+inj_stra[i]);
				resp.sendRedirect("page/index.action");
			    return;
			}
		}

		//如果存在下一个dofilter方法,则调用下一个过滤器的dofilter方法;否则一直停在这
		chain.doFilter(request, response);
	}

	public void destroy(){
		config=null;
	}
HTTP注入URL重定向漏洞验证测试
afei001
12-21 1355
目录 1.前言 2.HTTP注入漏洞介绍 3.URL重定向漏洞介绍 4.HTTP注入漏洞验证 5.URL重定向漏洞验证 6.修复建议 (1)针对HTML注入漏洞修复建议 (2)针对URL重定向漏洞修复建议 1.前言 今天在公司使用AWVS和Appscan对目标网站进行漏扫时发现了HTTP注入URL重定向。并使用Burp进行了验证。 afei 2.HTTP注入漏洞介绍 基于HTTP协议注入威胁技术是一种新型危害性很强的攻击技术。用户浏览...
SpringBoot与布隆过滤器的完美邂逅:高效防护大规模数据的奇妙结合【实战】
热门推荐
todoitbo的博客
12-14 9万+
SpringBoot作为一种流行的Java开发框架,提供了丰富的工具和插件来简化开发流程。而布隆过滤器则以其小巧而高效的特性在数据领域脱颖而出。本文将深入研究如何在SpringBoot项目中整合布隆过滤器,以及它们在大规模数据应用中的协同作用。通过实例演示,我们将揭开这一技术结合的神奇面纱。
使用过滤器对权限进行过滤,就是对访问的url地址进行判断
android290259616的博客
08-04 520
/* * To change this license header, choose License Headers in Project Properties. * To change this template file, choose Tools | Templates * and open the template in the editor. */ pac...
url存在链接注入漏洞_【漏洞通告】Citrix SDWAN远程代码执行漏洞通告(CVE20208271)...
weixin_30750685的博客
01-05 683
2020年11月8日,安全研究者Ariel Tempelhof披露,Citrix SD-WAN中存在多个漏洞,影响除最新版本11.2.2,11.1.2b和10.2.8以外的多个版本,攻击者可以利用此漏洞执行任意代码。近日漏洞利用方式被公开,深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告。漏洞名称 :Citrix SD-WAN远程代码执行漏洞(CVE-2020-8271)...
URL正则校验以及邮箱正则校验
zhongli_的博客
07-06 2756
正则校验
过滤器和注解
weixin_45701868的博客
06-14 868
过滤器
防止SQL注入URL过滤器实现与分享
所谓“防止SQL注入URL过滤器”,其核心功能是在请求到达后端处理逻辑之前,对请求中的URL参数进行预处理和校验,从而过滤掉潜在的恶意输入。URL过滤器通常是在Web应用的请求处理链中插入的一个拦截器,可以基于...
XSS安全漏洞?使用过滤器解决前端JS注入问题。
41981DC的博客
10-09 3171
使用过滤器解决前端XSS安全问题,JS注入问题使用过滤器解决前端 XSS 安全问题过滤器 使用过滤器解决前端 XSS 安全问题 在Java web 项目中,对于前端 JS 注入问题,可以在前端写 JS 代码进行预处理,但是这样处理无法保证万无一失,当用户篡改前端校验的 JS 代码,导致校验失效,那么未经处理的 JS 代码保存到数据库后再次查询展示到页面,依然会出现 JS 安全问题,这时候就需要在后台做 JS 代码校验和处理。我们可以使用过滤器(Filter)处理。 过滤器 过滤器可以对目标 web 资源
详解SpringCloud Zuul过滤器返回值拦截
08-27
// 判断是否需要执行该过滤器,这里根据请求URI决定是否拦截登录接口 @Override public boolean shouldFilter() { RequestContext context = getCurrentContext(); return StringUtils.equals(context.get...
Spring Security中的Servlet过滤器体系代码分析
08-18
它根据请求URL和Ant风格的模式来判断请求是否匹配,如果匹配,则执行对应的过滤器链。例如,登录请求可能通过一个包含认证过滤器的链,而管理接口可能通过另一个包含更严格授权规则的链。 6. **FilterChainProxy** ...
开发技术 Web开发,防止url注入
11-09
这段程序是针对各业务系统通过URL进行越权注入进行控制的脚本
注入
weixin_30446613的博客
10-21 192
$fiter = array( "'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUN...
数据包注入
qq_43776408的博客
11-12 849
帧 设备之间是靠帧来通信的 帧控制占2个字节 帧控制分为管理帧,控制帧,数据帧 管理帧负责维护AP和无线客户端之间的通信 wireshark中过滤表达式为wlan.fc.type == 0 控制帧确保AP和无线客户端之间正确的数据交换 wlan.fc.type == 1 数据帧承载着AP和无线客户端之间要传的数据 wlan.fc.type == 2 上述三种帧都是2比特 当然上述三种帧底下又...
JavaWeb】【Filter】如果debug带有Filter过滤器的项目
The Gao的博客
11-23 1156
当客户端请求在web.xml文件中配置的标签中标签下的服务端的数据时,首先要经过Filter过滤器。 对于某些容易产生线程冲突的场景,可以通过Filter过滤器配合ThreadLocal来解决。示例中的doFilter方法实现了如果没有异常就正常向下执行直至Jdbc工具类提交事务并关闭连接,如果有异常的话就回滚事务并关闭连接。 public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, Filter
java Filter 调试技巧
wer754105453的专栏
11-15 439
java Filter 调试技巧
filter过滤器_过滤器学习
weixin_39812465的博客
11-26 209
过滤器学习:问题:目前我们访问Servlet,是可以直接进行访问的,没有进行任何防护。可能会造成服务器资源的浪费,以及安全性不高。我们希望在请求被Servlet处理之前,进行一次请求的校验,符合要求再调用对应的Servlet进行请求处理。解决:使用过滤器。作用:过滤器是处于客户端与服务器资源文件之间的一道过滤网,在访问资源文件之前,通过一系列的过滤器对请求进行修改、判断等,把不符合规则的请求在中途...
安全防御:过滤技术
最新发布
AXDRXS的博客
07-20 2150
邮件过滤技术 SMTP --- 简单邮件传输协议 --- TCP 25 --- 我们需要将邮件从本地发送到邮件服务器中时使用的协议 POP3 --- 邮局协议 --- TCP 110 --- 将邮件从服务器中下载到本地使用的协议,之后完成查看,删除等操作 IMAP --- 交互邮件访问协议 --- TCP 143 --- 这个协议也是用于查看邮件信息的,和POP3的区别在于不需要将所有邮件下载到本地,可以直接在邮件服务器上进行查看,删除等操作。内容过滤技术 文件内容的过滤 应用内容的过滤
Filter过滤器 &(登录功能拦截例子)
lwj_07的博客
06-29 3318
Filter:简单来说就是设立在客户端和服务器之间的一个拦截关卡,当发现客户端请求的资源或者服务器响应给客户端的资源不规范(比如:敏感字符等)就会拦截该资源还有一个作用就是:可以在拦截关卡这里存放一些权限控制在里面 注意1:这个实现的Filter是 javax.servlet包下的Filter注意2:只要Filter的拦截路径是/* 那么客户端访问的路径资源或者服务器响应的资源 都是会先被拦截下来的,然后放不放行看代码 代码演示: eg:当我们没有Filter拦截的时候我们开启服务器访问hello.jsp资
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值