代码漏洞

最新推荐文章于 2024-05-14 20:03:01 发布
最新推荐文章于 2024-05-14 20:03:01 发布
阅读量3.5k 收藏
点赞数
分类专栏: JavaWeb 文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chuli0327/article/details/114526593
版权

代码漏洞

这里是我在工作中遇到过的一些存在而且不会注意的编码漏洞, 会造成系统的不安全性, 这里将会从漏洞风险由高到低一一介绍总结以下

1. SQL 注入漏洞 (高等风险)

  • 风险分析

    • SQL 注入式一种数据库攻击手段, 攻击者通过向应用程序提交恶意代码来改变原来 SQL 语句的含义, 进而执行任意 SQL 命令, 达到入侵数据库乃至操作系统的目的

  • 安全建议

    • 在入口文件处添加 SQL 过滤器, 直接拦截过滤特殊字符

  • 处理方式

    • 增加全局过滤器
    • 在 配置文件 web.xml 中注册
    import java.io.IOException;
import java.util.Enumeration;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.Filter;
import javax.servlet.http.HttpServlet;
/**
 * @Author: 九千七
 * @date: 2021/2/3 17:12
 * @description: 增加 SQL 注入过滤器, 过滤所有请求
 */
/*
 *  通过过滤器过滤SQL注入特殊字符
 */
@SuppressWarnings({
     "rawtypes", "JavaDoc"})
public  class InjectFilter extends HttpServlet implements Filter {
     

    private static final String failPage = "ErrorHandle.jsp";     //发生注入时,跳转页面, 此处为你自己项目中定义的错误界面

    public void doFilter(ServletRequest request,ServletResponse response,
                         FilterChain filterchain)throws IOException, ServletException {
     
        //判断是否有注入攻击字符
        HttpServletRequest req = (HttpServletRequest) request;
        String inj = injectInput(req);
        if (!inj.equals("")) {
     
            request.getRequestDispatcher(failPage).forward(request, response);
        } else {
     
            // 传递控制到下一个过滤器
            filterchain.doFilter(request, response);
        }
    }
    
    /**
     * 判断request中是否含有注入攻击字符
     * @param request
     * @return inj
     */
最低0.47元/天 解锁文章
§九千七§
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
GB_T 34943-2017C_C++语言源代码漏洞测试规范.pdf
08-29
GB/T 34943-2017 C/C++语言源代码漏洞测试规范,主要讲述了源代码漏洞的测试总则、测试内容、漏洞分类、漏洞说明,以及相应的漏洞测试案例。
Java权限中遇到的问题汇总
邱慕夏 没有比脚更长的路,没有比人更高的山
08-30 4033
一直在做ITOOJava权限,做这一部分,一上来就遇到很多的问题,这些问题因为先前没有做过,有点心有余而力不足。问题很多,大致是一上来之后,看懂了就不觉得难了。 我将错误一直记录在我的onenote里面,为之后的学习提供资料,这些问题大致都是遇到了解决了,下回就没有问题了,做完之后一个感觉,这个项目封装的很不错,一个新手上来,并没有非多大的力气就能很快加入到项目中,而且项目有很好的封装性
XSS漏洞分析
qq_50646296的博客
07-28 1406
一个挖漏洞项目,可以将它的hook.js通过XSS的方法被存储到某个网站,然后那个网站只要访问这个页面信息,那么整个网站就被监控了。此时查看设备已经在线,可以看到已经拿到了服务端那里的cookie,并且可以任意修改网站的配置文件,危害十分巨大。XSS代码被存储到服务器上的数据库里的某张表的字段里,或者页面,或者某个上传文件里,此类型危害最大。里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而。利用我们所知道的各种黑魔法,向Web页面插入JS代码,让JS代码可以被浏览器执行,.
技术分享|某办公系统代码执行漏洞分析及检测优化_泛微oa远程代码执行漏洞
最新发布
2401_84971538的博客
05-14 881
在本文中主要是以泛微E-Office /eoffice10/server/public/api/attachment/auh-file 代码执行漏洞这个漏洞为契机,为解决通常需要 PHP 环境才能生成 Phar 文件的情况,在 Goby 中通过跨语言的方式实现了输入指定数据就能生成恶意的Phar文件,以完成 Phar 反序列化漏洞的测试和利用。以此为例在 Goby 上实现了漏洞攻击效果,并且实现了远超同类检测工具30%的漏洞检出率,还加入了命令执行回显、一键反弹 Shell 的利用方式。
void main(void) - the Wrong Thing
ilovejujube的博客
06-10 294
void main(void) - the Wrong Thing The newsgroup,comp.lang.c, is plagued by an almost continuous discussion of whether we can or cannot usevoidas a return type formain. The ANSI standard says “no”, which should be an end of it. However, a number of beg...
324、Vue学习笔记30 -【安全】 2020.04.21
youyouwuxin1234的博客
04-21 548
0、目录1、报告安全漏洞2、第一原则:永远不要使用不可信任的模板3、Vue 的安全措施3.1 HTML 内容3.2 Attribute 绑定4、潜在危险4.1 注入 HTML4.2 注入 URL4.3 注入样式4.4 注入 JavaScript5、最佳实践6、后端协作7、服务端渲染 (SSR)8、参考链接 1、报告安全漏洞 当我们收到一个安全漏洞报告,将给予其最高优先级,并由全职贡献者停下...
PythonStudy——函数的返回值 The return value of the function
04-24 893
# 在函数体中,通过return关键词返回函数的内部数据给外部"""# 一、作用# return作用:1.结束函数;2.将函数的内部数据返回给外部 def fn(): print(123) return # return可以直接结束函数的执行,所以return之下的语句永远不会执行 print(12345) fn() def func(): ...
FindBugs Report安全代码检查工具问题解析
热门推荐
兔子临死前的专栏
01-20 2万+
1、LI_LAZY_INIT_UPDATE_STATIC:Incorrect lazy initialization and update of static field Thismethod contains an unsynchronized lazy initialization of a static field. Afterthe field is set, the object st
getParameter()接收参数报错NullPointerException
我是你的橙子啊
04-25 1093
一个空格引发的“惨案”。 前期(我明明在表单里填数据了,为啥会是NPE呢) 在用getParameter()接收前端表单传过来的数据时报错NPE,刚好这个报错的地方是BigDecimal类型,我是第一次用这个类型,第一感觉是没用过这个类型,可能是String转BigDecimal时出错了,然后尝试强制转换,各种谷歌,连stackover的英文我都忍着看了!but,大约花了1h都没有解决,然后又搜索...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
C#语言源代码漏洞测试规范
09-12
C#语言源代码漏洞测试规范,帮助大家更好地完善代码,避免bug,从中获益
发现一款牛逼的 IDEA 插件:检测代码漏洞,一键修复!(csdn)————程序.pdf
12-05
发现一款牛逼的 IDEA 插件:检测代码漏洞,一键修复!(csdn)————程序
thinkphp5远程执行代码漏洞修复补丁.zip
04-17
thinkphp5远程执行代码漏洞修复补丁
sql 注入漏洞
Venscor技术养成之路
04-21 885
sql注入相关知识
代码执行漏洞总结
u014794539的博客
07-25 1573
代码执行漏洞是把代码注入到Web服务器中执行,而命令执行漏洞执行的系统命令 , 代码执行漏洞 有的应用程序提供了一些可以将字符串作为代码执行的函数,如果对这些函数控制不严格,就可能被攻击者利用,执行恶意代码 eval函数 eval函数把字符串作为PHP代码执行 eval(string $code) eval实例代码 比如一句话木马 <?php @eval($_POST[1])?> assert函数 assert函数检查一个断言是否为FALSE bool assert(mixed $asse
GetMessage函数第二个参数的问题
路漫漫其修远兮
10-29 745
转载地址:https://blog.csdn.net/shyrgst/article/details/7322268 今天在学习VC++深入详解的过程中发现当GetMessage的Hwnd参数不为NULL的时候,会导致应用程序接收不到WM_QUIT消息,此时关闭窗口时,窗口可以正常析构但是应用程序不会正常退出,必须通过任务管理器结束。原因...
注意GetMessage()的返回值
做一个优雅的程序员
11-07 3887
这个函数虽然返回值类型是BOOL,但是还有可能返回-1 !<br /><br />Return Value<br />BOOL<br />If the function retrieves a message other than WM_QUIT , the return value is nonzero.<br />If the function retrieves the WM_QUIT message, the return value is zero. <br />If there
Java编程常常犯得十个错误【EN】
白璐 | 产品经理
11-16 1513
(How to spot them. How to fix/prevent them.) By David Reilly Whether you program regularly in Java, and know it like the back of your hand, or whether you're new to the language or a casual prog
MT4提示警示return value&nbs…
bluewater的专栏
04-14 3617
问题1:MT4提示警示return value of 'OrderClose' should be checked 代码编程不够严谨的警告,非代码错误。不会影响你EA的运行。新版的MQL4对于订单类函数语句要求函数的返回值要明确,否则会出现此种警告。  orderclose();  orderselect();    ordersend();    OrderDelete(OrderTic
学习代码漏洞检测应该怎么学?
03-31
学习代码漏洞检测应该遵循以下步骤: 1. 掌握编程语言基础知识。要学习代码漏洞检测,首先需要掌握至少一种编程语言的基础知识,如C/C++、Java等。 2. 学习代码漏洞分类。了解代码漏洞的分类,如缓冲区溢出、SQL注入、跨站脚本等,以及各种漏洞的原理和特点。 3. 学习常见漏洞检测工具。学习常见的漏洞检测工具,如Burp Suite、Nessus、Metasploit等,在实践中掌握漏洞检测的方法和技巧。 4. 学习漏洞修复技术。学习漏洞修复技术,包括代码审计、代码重构等,以及常见的安全编码规范和最佳实践。 5. 实践漏洞检测。通过实践来提高漏洞检测能力,例如参加CTF比赛、挑战赛等,或自己编写测试代码进行漏洞检测。 6. 学习安全意识。学习安全意识,了解安全威胁和攻击手段,从而更好地理解漏洞检测的重要性和意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

§九千七§

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值