在spring cloud 框架中添加过滤器,对json格式的请求数据进行过滤进行防sql注入(只对一层json有效)

最新推荐文章于 2024-06-06 22:22:50 发布
最新推荐文章于 2024-06-06 22:22:50 发布
阅读量1.8k 收藏 2
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_38853916/article/details/85089069
本文介绍了一种在请求数据中使用JSON格式时防止SQL注入的方法。通过对JSON参数进行特殊字符和敏感字符串的替换,实现对SQL注入攻击的有效防御。文章详细展示了如何在Java环境中实现这一过滤机制。

请求数据json只能是一层,多层嵌套的json数据不支持,有大牛知道怎么解决的可以提出来,谢谢

 

/**

* 对请求json参数进行防sql注入过滤

*

* @create 2018-12-18

*/

@Component

@Slf4j

@RefreshScope

public class SqLinjectionFilter extends ZuulFilter {

@Override

public String filterType() {

return "pre";

}

 

@Override

public int filterOrder() {

return -3;

}

 

@Override

public boolean shouldFilter() {

return true;

}

 

@Override

public Object run() {

RequestContext ctx = RequestContext.getCurrentContext();

HttpServletRequest request = ctx.getRequest();

try {

InputStream in = ctx.getRequest().getInputStream();

String body = StreamUtils.copyToString(in, Charset.forName("UTF-8"));

Map<String, Object> stringObjectMap = cleanXSS(body);

JSONObject json = JSONObject.fromObject(stringObjectMap);

String newBody = json.toString();

final byte[] reqBodyBytes = newBody.getBytes();

ctx.setRequest(new HttpServletRequestWrapper(request){

@Override

public ServletInputStream getInputStream() throws IOException {

return new ServletInputStreamWrapper(reqBodyBytes);

}

@Override

public int getContentLength() {

return reqBodyBytes.length;

}

@Override

public long getContentLengthLong() {

return reqBodyBytes.length;

}

});

} catch (IOException e) {

e.printStackTrace();

}

return null;

}

private Map<String, Object> cleanXSS(String value) {

//You'll need to remove the spaces from the html entities below

value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");

value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");

value = value.replaceAll("'", "& #39;");

value = value.replaceAll("eval\\((.*)\\)", "");

value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

value = value.replaceAll("script", "");

value = value.replaceAll("[*]","["+"*]");

value = value.replaceAll("[+]","["+"+]");

value = value.replaceAll("[?]","["+"?]");

 

String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|%|chr|mid|master|truncate|" +

"char|declare|sitename|net user|xp_cmdshell|;|or|+|,|like'|and|exec|execute|insert|create|drop|" +

"table|from|grant|use|group_concat|column_name|" +

"information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|" +

"chr|mid|master|truncate|char|declare|or|;|--|,|like|//|/|%|#";

JSONObject json = JSONObject.fromObject(value);

String[] badStrs = badStr.split("\\|");

Map<String, Object> map=json;

Map<String, Object> mapjson=new HashMap<>();

for (Map.Entry<String, Object> entry : map.entrySet()) {

String value1 = (String) entry.getValue();

for (String bad :badStrs){

if (value1.equalsIgnoreCase(bad)){

value1="forbid";

mapjson.put(entry.getKey(),value1);

break;

}else {

mapjson.put(entry.getKey(),entry.getValue());

}

}

}

return mapjson;

}

}

 

qice0809
关注
Spring Cloud Gateway 实现XSS、SQL注入拦截
BUG指挥课堂
04-06 4847
创建Filter 实现GlobalFilter, Ordered @Slf4j @Component public class SqLinjectionFilter implements GlobalFilter, Ordered { @SneakyThrows @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain){ // grab config
spring cloud gateway 过滤器止跨站脚本攻击(存储XSS、反射XSS)
qq_26801767的博客
05-20 8658
spring cloud gateway 过滤器止跨站脚本攻击背景接下来直接上代码CacheBodyGlobalFilterXssRequestGlobalFilterXssResponseGlobalFilter.javaXssCleanRuleUtils.java 背景 <spring-boot.version>2.1.4.RELEASE</spring-boot.version> <spring-cloud.version>Greenwich.RELEASE&lt
SQL注入和XSS攻击Filter
u014704496的专栏
06-12 678
nbsp;今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决SQL注入和XSS攻击 一个是Filter负责将请求的request包装一下。 一个是request包装器,负责过滤掉非法的字符。 将这个过滤器配置上以后,世界总算清净多了。。 代码如下: [java] view plaincopy im
止后台SQL注入并解析各种json类型
醉蝶依
03-11 3325
前两天做了一个关于后台的SQL注入的操作。因为项目数据层全部编码完成,现在再来大动干戈修改数据层,有点繁琐耗时。所以就添加了一个过滤器拦截前台传递到后台的参数信息,在数据进入控制层之前先拦截信息进行检查,如果含有SQL注入的关键字,则直接返回前台。所以需要针对前台传递的各种json字符串和json数组进行解析。 因为在过滤器里面先获取了request里面的payload的信息,而在reque...
java filtersql注入攻击
johennes的专栏
07-31 1031
原理,过滤所有请求中含有非法的字符,例如:, & 黑客可以利用这些字符进行注入攻击,原理是后台实现使用拼接字符串,案例: 某个网站的登入验证的SQL查询代码为       strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');" 恶意填入       use
利用拦截器实现sql注入
an341221的专栏
01-29 1万+
web.xml的代码: sqlInjectionFilter com.suning.mcms.web.auth.filter.SqlInjectionFilter sqlInjectionFilter *.do 拦截器的代码: package com.suning.mcms.web.
springcloud返回值过滤空字段
weixin_34191734的博客
11-08 1091
spring: application: name: sc_demo jackson: default-property-inclusion: NON_NULL mapper: sort-properties-alphabetically: true 转载于:https://juejin.im/post/5be40d7851882516f2093225
Spring-Cloud-Gateway-实现XSS、SQL注入拦截
最新发布
lbmydream的博客
06-06 2723
XSS和SQL注入是Web应用中常见计算机安全漏洞,文章主要分享通过Spring Cloud Gateway 全局过滤器对XSS和SQL注入进行安全范。写这篇文章也是因为项目在经过安全组进行安全巡检时发现项目存储该漏洞后进行系统整改,本文的运行结果是经过安全组验证通过。
深入解析Spring Cloud Config:多样配置中心的实现与高可用策略
热门推荐
张彦峰的博客
02-14 167万+
这篇文章探讨了配置中心的重要性及其在分布式系统中的应用,特别关注Spring Cloud Config。文章首先介绍了配置中心的由来、功能及选择标准,然后详细阐述了Spring Cloud Config的基本实现方法,包括结合Git、关系型数据库(MySQL)和非关系型数据库(MongoDB)的方案。此外,还讨论了配置中心的高可用性、客户端自动刷新机制及安全认证等扩展功能。最后,文章对比了Spring Cloud Config与Apollo的特性,强调Apollo在企业级应用中的优势。
spring gateway 集成sql注入过滤
weixin_55741551的博客
08-17 1253
spring gateway 使用globalFilter集成sql注入检查和过滤
xss+sql 注入拦截form表单和json数据非法字符
王威振的博客
01-19 6797
首先创建过滤器 /** * Created by wwz on 2018-10-19. */ public class XssFilter implements Filter { private final List<String> arrays = Arrays.asList(new String[]{"<",">","insert","delete","select","drop","update","truncate"}); private final ...
Spring-MVC】 配置过滤器以及Json
MY9_19的博客
07-09 894
文章目录12 配置过滤器12.1 在web.xml配置12.2 Java类配置13 Json数据13.1 简介13.2 结构13.3 Jackson13.3.1 导入依赖13.3.2 SpringMVC中的简单使用13.3.2.1 响应对象13.3.2.2 响应集合13.3.3 局部处理时间响应13.3.4 全局处理时间响应13.3.4.1 基于配置文件13.3.4.2 基于Java类 12 配置过滤器SpringMVC中我们依然可以使用过滤器来进行一些处理,我们可以像在Servlet阶段在web.x
php sql json注入,【网络安全】SQL注入、XML注入JSON注入和CRLF注入科普文
weixin_39564755的博客
03-13 375
SQL注入所谓SQL注入,是将恶意SQL命令通过某种方式提交到服务器后台,并欺骗服务器执行这些恶意的SQL命令的一种攻击方式。 —— [ 百度百科 ]造成SQL注入漏洞原因有两个:一个是没有对输入数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。一些寻找SQL漏洞的方法http://host/test.php?id=100 and 1=1 //返回成...
Spring boot 添加 XssFilter过滤器(接口必须是Json入参格式)
新鲜雾霾的博客
12-30 1941
第一步部分代码: XSS_ERROR(90006, “入参含有非法字符”) @Component @Slf4j @WebFilter(filterName = "xssFilter", urlPatterns = "/*") @Order(5) public class XssFilter implements Filter { private static final Strin...
NGINX 拦截指定请求并返回json数据
gaoduicai的博客
06-29 1866
hosts将域名指向本地。nginx构造下路径。
SpringCloud 使用Zuul止xss攻击和sql注入
Alone5256的博客
04-15 3456
SpringCloud -ZUULSpringCloud 使用Zuul止xss攻击和sql注入导入zuul的jar包编写一个过滤器SqLinjectionFilter,继承ZuulFilter SpringCloud 使用Zuul止xss攻击和sql注入 导入zuul的jar包 <!--zuul--> <dependency> ...
Nginx 返回响应过滤响应内容
weixin_30675247的博客
05-12 2174
94 过滤模块 从下到上顺序 server {   listen 30004;   server_name shop***s.com.cn; location /{ proxy_pass http://test; proxy_hide_header aaa; #启...
Nginx过滤器模块实现
qq_38731735的博客
03-21 4041
1 数据结构 2 实现过程 3原理分析
Nginx模块开发之http过滤器filter
Lion_Long的博客
11-21 2027
一、过滤器模块简介。 二、Nginx相关数据结构介绍:ngx_module的数据结构、ngx_http_module数据结构、ngx_command数据结构。 三、Nginx过滤器模块开发:Nginx模块开发流程、Nginx 模块执行、示例代码、编写config文件、编译模块到Nginx源码中、执行效果。
Springcloud基础框架统一GateWay网关鉴权Demo分享
- 进行压力测试和安全性分析,确保网关能够在高并发的情况下稳定运行,同时对常见的攻击手段如CSRF、SQL注入等进行范。 - 引入持续集成和持续部署(CI/CD)流程,确保代码变更后可以快速且安全地部署到生产环境。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值