Web漏洞处理--http host头攻击漏洞处理方案/检测到目标URL存在宽字节跨站漏洞/ 检测到目标URL存在SQL注入漏洞

最新推荐文章于 2024-08-16 14:19:17 发布
最新推荐文章于 2024-08-16 14:19:17 发布
阅读量9.3k 收藏 4
点赞数 2
分类专栏: Java 文章标签: 拦截器 web漏洞 SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kally_Wang/article/details/79300576
版权
本文探讨了如何通过配置Web拦截器来防御HTTP Host头攻击、宽字节跨站漏洞以及SQL注入漏洞。首先介绍了拦截器的设置,然后详细讲解了拦截器中针对这些安全威胁的代码实现,旨在提升Web应用的安全性。
摘要由CSDN通过智能技术生成

1.配置web 拦截器

   <filter>  
     <filter-name>XssSqlFilter</filter-name>  
     <filter-class>com.modules.sys.security.SessionFilter</filter-class>  //拦截器的位置
  </filter>  
    <filter-mapping>  
     <filter-name>XssSqlFilter</filter-name>  
     <url-pattern>/*</url-pattern>  
  </filter-mapping>

2.拦截器代码

package com.todaytech.yth.gdsd.base.Filter;  
  
import java.io.IOException;  
import java.util.Iterator;  
import java.util.Map;  
import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;  
import org.apache.commons.lang.StringUtils;  
import org.apache.log4j.Logger;  
  
  
public class SessionFilter implements Filter {  
    private static Logger log = Logger.getLogger(SessionFilter.class);  
  
    public void destroy() { }  
  
    public void doFilter(ServletRequest servletRequest,  
            ServletResponse servletResponse, FilterChain filterChain)  
            throws IOException, ServletException {  
        HttpServletRequest request = (HttpServletRequest) servletRequest;  
        HttpServl
最低0.47元/天 解锁文章
Kally_Wang
关注
专栏目录
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
10-26
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
目标URL存在跨站漏洞目标URL存在http host攻击漏洞处理方案
u012465383的博客
01-12 4891
直接写过滤器: package com.todaytech.yth.gdsd.base.Filter; import java.io.IOException; import java.util.Iterator; import java.util.Map; import javax.servlet.Filter; import javax.servlet.FilterChain; import
检测目标URL存在http host攻击漏洞
最新发布
ruanjian_kj的博客
08-16 726
nginx 的 default_server 指令可以定义默认的 server 去处理一些没有匹配到 server_name 的请求,如果没有显式定义,则会选取第一个定义的 server 作为 default_server。若请求不是指定的url,一律返回403。
XSS跨站脚本攻击在Java开发中防范的方法
conkeyn的专栏
02-27 530
详细描述 跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息或在终端用户系统上执行恶意代码。 成功的跨站脚本攻击所带来的主要问题包括: 帐号劫持 - 攻击者可以在会话cookie过期之前劫持用户的会话,并以访问ULR用户的权限执行操作,如发布数据库查...
Java 过滤器解决URLSQL注入漏洞跨站漏洞、框架注入漏洞、链接注入漏洞
SuperstarSteven的博客
08-16 6339
一、 漏洞描述 1. 检测目标URL存在SQL注入漏洞 很多WEB应用中都存在SQL注入漏洞SQL注入是一种攻击者利用代码缺陷进行攻击的方式,可在任何能够影响数据库查询的应用程序参数中利用。例如url本身的参数、post数据或cookie值。 2.检测目标URL存在跨站漏洞 跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息或在终端用户系统上执行恶意代码
利用HTTPhost攻击的技术
01-30
一般通用web程序是如果想知道网站域名不是一件简单的事情,如果用一个固定的URI来作为域名会有各种麻烦。开发人员一般是依赖HTTP Hostheader(比如在php里是_SERVER["HTTP_HOST"]),而这个header很多情况下是靠不住...
永恒之蓝漏洞检测工具
10-10
永恒之蓝漏洞检测工具,用于扫描网络环境是否存在MS17-010漏洞。打开工具后输入ip或者ip网段(如:要检测172.16.21.1-172.16.21.254网段的设备就在里面输入:172.16.21.1/24)就可以检测设备是否有MS17-010漏洞,...
Yolov5目标检测web部署flask框架
06-27
Yolov5是一种高效、准确的目标检测模型,而将它部署到Web应用中可以为用户提供实时的检测服务。Flask是一个轻量级的Python Web框架,非常适合构建API和服务。本项目将详细介绍如何利用Yolov5和Flask构建一个实时目标...
漏洞检测CVE-2017-7525---poc
01-20
### 漏洞检测CVE-2017-7525分析与PoC解析 #### 一、漏洞概述 CVE-2017-7525是Apache Struts框架中的一个远程代码执行漏洞。该漏洞允许攻击者通过精心构造的恶意请求来执行远程代码。Apache Struts是一款开源的MVC...
Python-furl一个让处理URL更简单小型Python库
08-11
Python-furl是一个小型但功能强大的Python库,专为简化URL处理而设计。它提供了一种优雅的方式来解析、操作和重构URLs,对于开发者来说,它是一个极其实用的工具,尤其是在处理网络请求和数据抓取时。在本文中,我们...
安全篇 ━━ 整改php和IIS(根据安全等级保护评估、渗透测试报告)
暂时先用这个名字
10-16 7349
1、 目标URL存在http host攻击漏洞 在代码部分注释_SERVER[“HTTP_HOST”]方法,仅留_SERVER["SERVER_NAME”] 2、 会话cookie中缺少HttpOnly属性 在代码部分开启HttpOnly 在服务器开启httpOnlyCookies为True 3、 目标X-Content-Type-Options响应缺失 在代码部分设置X-Content-Type-Options为nosniff 在IIS设置X-Content-Type-Options为nosn
URL存在http host攻击漏洞,修复方案
热门推荐
xin292930540的专栏
09-15 1万+
漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Hostheader。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。访问网站时如果访问路径中缺少/,大多数中间件都会自动将路径补全,返回302或301跳转如下图,Location位置的域名会使用Host的值。这种情况实际上风险较低,难以构成Host攻击。但是由于大多漏洞扫描。
url存在字节跨站漏洞_开发者必读篇之Web漏洞防护指南
weixin_39625468的博客
11-29 607
专注于Java领域优质技术,欢迎关注作者:想要好看的 图灵社区本文配图来自美剧《黑客军团 第3季》。web的发展史早期的互联网非常的单调,一般只有静态页面,现在,随着技术的发展,web上大多数站点实际上是web应用程序,在服务器和浏览器之间进行双向的信息传递。他们支持注册登录,金融交易,搜索及用户创作的内容。用户只需要拥有一个浏览器,就能实现各种功能。Web是指一个网站的前端页面到后端服务,比如我...
http host攻击漏洞修复
java_cn9527的博客
03-07 2919
漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 建议修复:web应用程序应该使用SERVER_NAME而不是host header。在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单,Apac..
url存在字节跨站漏洞_漏洞那些事er 反射型跨站脚本攻击
weixin_39640543的博客
12-10 625
跨站脚本攻击(Cross Site Scripting,缩写为XSS)本质上仍是注入攻击的一种。当实施此类攻击时,攻击者通过直接或间接的方式,向WEB应用提交包含恶意代码数据,而WEB应用未对提交数据进行合法性验证或转义处理,最终致使恶意代码在被攻击者的浏览器中执行。 跨站脚本是所有WEB应用安全漏洞中最常见的一种,一些安全公司的统计数据显示,其数量占据了WE...
漏洞修复-检测目标URL存在http host攻击漏洞
07-14
如果您检测目标URL存在HTTP Host攻击漏洞,以下是一些可能的漏洞修复方法: 1. 校验和过滤Host信息:在您的应用程序中,对于接收到的HTTP请求,应该进行严格的校验和过滤。确保Host信息符合预期的格式和...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值