Java Web 一些特殊字符的过滤(appscan检查的安全问题)

最新推荐文章于 2021-07-02 10:02:13 发布
最新推荐文章于 2021-07-02 10:02:13 发布
阅读量7.2k 收藏 2
点赞数
分类专栏: JAVA 文章标签: java 特殊字符过滤 filter SQL注入 appscan检查的安全问题
本文介绍了一种用于防止SQL盲注攻击及跨站脚本攻击的过滤器实现方案。该过滤器通过拦截并检查HTTP请求参数,确保其不包含可能引起SQL注入或其他恶意行为的关键字。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

适用于出现以下问题:

1、SQL盲注

2、存储的跨站点脚本编制 或 跨站点脚本编制


import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class AntiSqlInjectionfilter implements Filter {  
	  
    public void destroy() {  
        // TODO Auto-generated method stub  
    }  
      
    public void init(FilterConfig arg0) throws ServletException {  
        // TODO Auto-generated method stub  
    }  
      
    public void doFilter(ServletRequest args0, ServletResponse args1,  
            FilterChain chain) throws IOException, ServletException {  
        HttpServletRequest req=(HttpServletRequest)args0;  
        HttpServletResponse res=(HttpServletResponse)args1;  
         //获得所有请求参数名  
        Enumeration params = req.getParameterNames();  
        String sql = "";  
        while (params.hasMoreElements()) {  
            //得到参数名  
            String name = params.nextElement().toString();  
            //System.out.println("name===========================" + name + "--");  
            //得到参数对应值  
            String[] value = req.getParameterValues(name);  
            for (int i = 0; i < value.length; i++) {  
                sql = sql + value[i];  
            }  
        }  
        //System.out.println("============================SQL"+sql);  
        //有sql关键字,跳转到error.html  
        if (sqlValidate(sql)) {
            throw new IOException("您发送请求中的参数中含有非法字符:"+sql);  
            //String ip = req.getRemoteAddr();  
        } else {  
            chain.doFilter(args0,args1);  
        }  
    }  
      
    //效验  
    protected static boolean sqlValidate(String str) {  
        str = str.toLowerCase();//统一转为小写  
        String badStr = "'|select|update|and|or|delete|insert|truncate|char|into"
        		+ "|substr|declare|exec|master|drop|execute|"
        		+ "union|;|--|+|,|like|//|/|%|#|*|$|@|\"|http|cr|lf|<|>|(|)";//过滤掉的sql关键字,可以手动添加  
        String[] badStrs = badStr.split("\\|");  
        for (int i = 0; i < badStrs.length; i++) {  
            if (str.indexOf(badStrs[i]) >= 0) {  
                return true;  
            }  
        }  
        return false;  
    }  
}


Web安全术语——摘自IBM AppScan的帮助文档
x7rslt的博客
06-07 1327
使用AppScan安全扫描时,翻看帮助(F1)找到的这个术语表。文档中提到很多Web相关的名词,有助于认识大多数的安全类英文词组,了解最基本的意思。(建议多阅读官方文档,经常会有意外收获)本术语表说明在 AppScan® Standard 用户界面和文档中使用的术语和首字母缩略词。〔A〕安全风险 (security risk)威胁的潜在成功机会和可能继而发生的损害。安全审计 (security a...
(持续更新中)Web功能测试下的安全测试如何进行?
qq_22643187的博客
03-13 1426
想到安全测试很多功能测试人员都很难入手,以为都是专业的安全测试人员去做。比如经常碰到的任务:某某某测试下系统有哪些安全问题,而对于经历过长达五六年的 web 功能、性能、接口测试人员来说,面对该任务就一头雾水。面对任何测试对象,我们要有对应的范围,然后才讲到各个范围的技术方法。以下安全测试范围是本人实践过的,且用于过部分上市的基金公司安全测试执行过程的测试验证。请看完我的文章描述,我相信可以助力你成为一个初级安全测试工程师!Q:安全测试测试什么啊?Q:安全测试策略如何编写?Q:安全测试如何执行?
javaWeb实现的过滤器敏感字过滤
03-17
javaWeb实现的过滤器敏感字过滤,建一个敏感字符的文件,发送时实现过滤为***
java非法字符检测_Java Web 一些特殊字符过滤appscan检查安全问题
weixin_39606137的博客
02-17 589
适用于出现以下问题:1、SQL盲注2、存储的跨站脚本编制 或跨站脚本编制import java.io.IOException;import java.util.Enumeration;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import jav...
javaweb敏感字符过滤
weixin_42017951的博客
03-27 1102
注意: 1、过滤器慎用日志、中文乱码、敏感字符 2、web过滤器、监听和servlet的调用顺序 先用监听-----过滤器—再调用servlet 敏感字符过滤的两种方法: 1、把敏感字符放入到一个文件,从文件中读取这些字符,与请求对象中字符进行比较,如果包含有铭感字符,一般用某种符号替换 2、把敏感字符放入到数据库中,从数据库的表中读取这些字符过滤器的作用:拦截request对象,将请求传递...
web安全过滤特殊字符
kaie123的博客
03-07 3788
[1] |(竖线符号) [2] &amp; (&amp; 符号) [3];(分号) [4] $(美元符号) [5] %(百分比符号) [6] @(at 符号) [7] '(单引号) [8] "(引号) [9] \'(反斜杠转义单引号) [10] \"(反斜杠转义引号) [11] &lt;&gt;(尖括号) [12] ()(括号) [13] +(加号) ...
web项目过滤掉非法字符
Keith003的博客
08-08 1807
    在项目中,会遇到关于sql注入,以及跨站脚本,XSS,链接注入攻击,这里就要做一些验证,当时接到这个求,在网上查找了半天终于找到一篇文章,并拿来测试,但是,这个里面是有一些错误的。 package com.cn.util; import java.io.IOException; import java.io.PrintWriter; import javax.servle...
javaweb安全问题解决方案
11-15
Java Web安全问题解决方案涵盖了一系列常见的安全漏洞及其对应的修复策略。以下是对这些安全问题的详细解释和建议: 1. SQL注入/盲注: SQL注入允许攻击者通过输入恶意的SQL语句来操纵数据库。为防止这种情况,...
Web安全期末复习
kaisaooo的博客
07-02 6780
目录前言知识Web应用开发基础Web信息收集Web漏洞扫描SQL注入文件上传攻击跨站脚本攻击(XSS)跨站请求伪造命令执行漏洞Web Server配置安全认证和授权日志系统构建及日志分析实战与综合简答题复习要ASP.NET的安全控件web应用系统的数据加密数据库安全通信身份验证日志分析安全配置一套习题 前言 本文用来记录Web安全的复习资料,大部分内容都是从老师ppt的复习范围中节选的,可能不太全,经过考试的心得:有时间的可以多看看,考的比较杂啥都有,但是SQL注入、XSS、文件上传漏洞是重中之重。有
华为安全编码规范在Java Web中的全面应用
本文首先概述了华为安全编码规范,随后深入分析Java Web安全的基础知识,包括威胁模型、架构安全和数据保护。第三章探讨了输入验证、输出编码、认证与授权机制以及错误处理与日志记录在实践中的具体应用。高级应用...
过滤过滤用户输入的非法字符
11-03
过滤过滤用户输入的非法字符,如“” “%” “+”等要的两个类XssFilter.java和XssHttpServletRequestWrapper.java
javaweb全站请求编码过滤
12-16
javaweb全站请求编码过滤器视频,手把手教你学会请求编码过滤
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求中的参数中含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
Java包含常见web漏洞测试项目
12-06
一个包含web常见漏洞的maven 项目。JDK8 +springMVC+JDBC+mybatis+mysql。使用Eclipse导入maven项目,用sql创建数据库和表,修改数据库连接密码。即可运行。有兴趣的可以研究测试。
JDK1.8-APPSCAN.zip
07-28
java_JDK源码包和安全扫描工具appscan,方便更好理解java编程,从而提升java技术
JavaWeb项目中的字符拦截器
Android_Robot的专栏
08-15 3158
字符拦截器的目的是解决 JavaWeb项目中的乱码问题,我在做Java的时候通常都是将Eclipse的字符集设置为"UTF-8",配合字符拦截器,乱码问题几乎就在没遇到过,很简单的,进入主题了,O(∩_∩)O~ 字符拦截器的源代码: package com.STRUTSFRA
深入了解SQL注入绕过waf和过滤机制
kendyhj9999的专栏
06-06 5681
深入了解SQL注入绕过waf和过滤机制 来源:http://drops.wooyun.org/tips/968 16人收藏 收藏 2014/03/02 13:24 | r00tgrok | 技术分享 | 占个座先 知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filte
springMvc 传递参数,特殊字符会被转义或过滤掉,造成后台拿到的数据不正确
热门推荐
xcc_2269861428的博客
09-21 1万+
项目开发中 遇到springMvc 传递参数,特殊字符会被转义或过滤掉,造成后台拿到的数据不正确。 比如cookie 前台cookie JSESSIONID=JSESSIONID=3FED1F63756106B3578F28BE154380D8; b_account_username=9kXge%2BjwS7TvYnajLmkjHg%3D%3D; b_account_token=60095d...
Java Web对前台传过来参数中的敏感字符进行过滤替换
风过留痕
08-13 3416
public static String filterHtml(String input){ if(input == null){ return null; } if(input.length() == 0){ return input; } input = input.replaceAll("&", "&"); input = input.repl
public class XssFilter implements Filter { /** * 排除链接 */ public List<String> excludes = new ArrayList<>(); @Override public void init(FilterConfig filterConfig) throws ServletException { String tempExcludes = filterConfig.getInitParameter("excludes"); if (StringUtils.isNotEmpty(tempExcludes)) { String[] url = tempExcludes.split(","); for (int i = 0; url != null && i < url.length; i++) { excludes.add(url[i]); } } } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse resp = (HttpServletResponse) response; if (handleExcludeURL(req, resp)) { chain.doFilter(request, response); return; } XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request); chain.doFilter(xssRequest, response); } private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) { String url = request.getServletPath(); String method = request.getMethod(); // GET DELETE 不过滤 if (method == null) { return true; } return StringUtils.matches(url, excludes); } @Override public void destroy() { } }/** * XSS过滤处理 * * @author ruoyi */ public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { /** * @param request */ public XssHttpServletRequestWrapper(HttpServletRequest request) { super(request); } @Override public String[] getParameterValues(String name) { String[] values = super.getParameterValues(name); if (values != null) { int length = values.length; String[] escapseValues = new String[length]; for (int i = 0; i < length; i++) { // 防xss攻击过滤前后空格 escapseValues[i] = EscapeUtil.clean(values[i]).trim(); } return escapseValues; } return super.getParameterValues(name); } } 这是若依框架的防止Xss攻击的代码 为什么我用appscan还是扫描出了这个问题反射型跨站脚本攻击 严重性: 高 CVSS 分数: 7.5 URL:: http://localhost/jmreport/view/881703033710092288 实体: [NUMERIC] (Parameter) 风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于假冒合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行 事务 原因: 当攻击者向受害者的浏览器发送恶意代码(大多数情况下使用 JavaScript)时,会出现跨站脚本攻击 (XSS) 漏洞。易受攻击Web 应用程序可能会在不进行过滤或编码的情况下将不受信任的数据嵌入到输出中。这样,攻击者便可以向该应用程序注入恶意 脚本,并在响应中返回该脚本。然后,在受害者的浏览器上运行该脚本。 尤其是,未对用户输入或不受信任的数据正确执行危险字符的清理。 在反射型攻击中,攻击者诱骗最终用户将包含恶意代码的请求发送到易受攻击Web 服务器,然后该服务器将攻击反射回最终 用户的浏览器。 服务器直接从 HTTP 请求接收恶意数据,并将其反射回 HTTP 响应。发送恶意内容的最常见方法是将其作为参数添加到公开发布 或通过电子邮件直接发送给受害者的 URL 中。包含恶意脚本的 URL 构成了许多网络钓鱼方案的核心,被诱骗的受害者访问指向 易受攻击的 URL。然后,该站将恶意内容反射回受害者,接着受害者的浏览器会执行该内容。 固定值: 查看危险字符注入的可能解决方案 差异: 参数 [NUMERIC] 从以下位置进行控制: 881703033710092288 至: 881703033710092288jy%22onerror%20=%22208+%7BvalueOf:alert%7D%22jy 推理: 测试结果似乎指示存在脆弱性,因为 Appscan 在响应中成功嵌入了脚本,在用户浏览器中装入页面时将执行该脚本。 怎么处理
最新发布
08-06
嗯,用户的问题是关于若依框架已经实现了XSS过滤机制,但IBM AppScan仍然报告存在反射型XSS漏洞,要解决方案。用户提供了详细的背景信息,包括引用内容,说明他们对这个问题已经有了一定的了解,但要更具体的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值