springboot 防请求过程sql注入-请求body加密

最新推荐文章于 2024-05-16 14:42:57 发布
最新推荐文章于 2024-05-16 14:42:57 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 【Java】- SpringCloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fly_west/article/details/107525186
版权

springboot 防请求过程sql盲注-请求body加密

背景

博主好不容易熬到了项目终于把bug修改完毕,开始迎来了项目的安全测试和性能测试以及疲劳测试。于是就先做了安全测试,公司的安全测试目前是由软件完成的叫:Appscan 以及monkey(是开发的app)完成。扫描之后发现出现了十多个sql盲注问题。看到这问题内心是凉凉的,因为上一次扫描出了几十个盲注问题,让我改了很多代码。百度之后统一采用mybatis的#{}可以解决大部分盲注问题。因为我们项目业务比较复杂,所以里面有直接的jdbc操作,所以导致了第一次扫描盲注问题较多。回归主题,这次我们领导下定决心我们要从根源上解决问题,所以我们采用请求头加密实现。这一文章主要讲解如何对Java请求的@requestBody前端加密后端解密。为了方便所以我采用的最简单的base64加解密作为讲解。直接上干货。

技术讲解

Spring中处理JSON请求使用@RequestBody和@ResponseBody注解,针对JSON请求加解密和过滤字符串,Spring提供了RequestBodyAdvice和ResponseBodyAdvice两个接口。在这我只讲解@RequestBody注解的相关使用

实现RequestBodyAdvice接口
package com.dengf.rent.interceptor;

import org.springframework.core.MethodParameter;
import org.springframework.http.HttpInputMessage;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.RequestBodyAdvice;

import java.io.IOException;
import java.lang.reflect.Type;

@ControllerAdvice(basePackages = "com.dengf.rent.controller")
public class MyRequestBodyAdvice implements RequestBodyAdvice {
    @Override
    public boolean supports(MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {
        return true;
    }

    @Override
    public HttpInputMessage beforeBodyRead(HttpInputMessage httpInputMessage, MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) throws IOException {
        try {
            return new MyHttpInputMessage(httpInputMessage);
        } catch (Exception e) {
            e.printStackTrace();
            return httpInputMessage;
        }
    }

    @Override
    public Object afterBodyRead(Object o, HttpInputMessage httpInputMessage, MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {
        return o;
    }

    @Override
    public Object handleEmptyBody(Object o, HttpInputMessage httpInputMessage, MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {
        return o;
    }
}
在beforeBodyRead中处理相关
package com.dengf.rent.interceptor;

import com.alibaba.fastjson.JSONObject;
import com.dengf.rent.util.CommonUtil;
import org.apache.commons.io.IOUtils;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpInputMessage;

import java.io.IOException;
import java.io.InputStream;

public class MyHttpInputMessage implements HttpInputMessage {
    private HttpHeaders headers;

    private InputStream body;

    public MyHttpInputMessage(HttpInputMessage inputMessage) throws Exception {
        String data = IOUtils.toString(inputMessage.getBody(), "UTF-8");
        JSONObject json = JSONObject.parseObject(data);
        if(json.containsKey("data")){
        	this.body = IOUtils.toInputStream(CommonUtil.decript(json.getString("data")), "UTF-8");
        }else{
			this.body = IOUtils.toInputStream(data,"UTF-8");
		}
        
    }

    @Override
    public InputStream getBody() throws IOException {
        return body;
    }

    @Override
    public HttpHeaders getHeaders() {
        return headers;
    }
}
base64加解密工具类
package com.dengf.rent.util;

import sun.misc.BASE64Decoder;
import sun.misc.BASE64Encoder;

import java.io.IOException;

public class CommonUtil {

    public static String decript(String data) throws IOException {
        BASE64Decoder decoder = new BASE64Decoder();
        byte[] bytes = decoder.decodeBuffer(data);
        return new String(bytes);
    }

    public static String encript(Object data){
        BASE64Encoder encoder = new BASE64Encoder();
        String res = encoder.encode(data.toString().getBytes());
        return res;
    }
}
注意

今天因为初心出了一个小问题博主真的是找了好一会儿才找到根节。下面上报错问题:

org.springframework.http.converter.HttpMessageNotReadableException: JSON parse error: Invalid UTF-8 middle byte 0xd0
 at [Source: (ByteArrayInputStream); line: 1, column: 146]; nested exception is com.fasterxml.jackson.databind.JsonMappingException: Invalid UTF-8 middle byte 0xd0
 at [Source: (ByteArrayInputStream); line: 1, column: 146]
 at [Source: (ByteArrayInputStream); line: 1, column: 143] (through reference chain: com.yanhua.ydyh.mobilenurse.vo.BaseListVo["LstRow"]->java.util.ArrayList[0]->com.yanhua.ydyh.mobilenurse.vo.patient.EscortsInformationVo["CPHRXB"])
	at org.springframework.http.converter.json.AbstractJackson2HttpMessageConverter.readJavaType(AbstractJackson2HttpMessageConverter.java:241)
	at org.springframework.http.converter.json.AbstractJackson2HttpMessageConverter.read(AbstractJackson2HttpMessageConverter.java:223)
	at org.springframework.web.servlet.mvc.method.annotation.AbstractMessageConverterMethodArgumentResolver.readWithMessageConverters(AbstractMessageConverterMethodArgumentResolver.java:206)
	at org.springframework.web.servlet.mvc.method.annotation.RequestResponseBodyMethodProcessor.readWithMessageConverters(RequestResponseBodyMethodProcessor.java:157)
	at org.springframework.web.servlet.mvc.method.annotation.RequestResponseBodyMethodProcessor.resolveArgument(RequestResponseBodyMethodProcessor.java:130)
	at org.springframework.web.method.support.HandlerMethodArgumentResolverComposite.resolveArgument(HandlerMethodArgumentResolverComposite.java:124)
	at org.springframework.web.method.support.InvocableHandlerMethod.getMethodArgumentValues(InvocableHandlerMethod.java:161)
	at org.springframework.web.method.support.InvocableHandlerMethod.invokeForRequest(InvocableHandlerMethod.java:131)
	at org.springframework.web.servlet.mvc.method.annotation.ServletInvocableHandlerMethod.invokeAndHandle(ServletInvocableHandlerMethod.java:102)
	at org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.invokeHandlerMethod(RequestMappingHandlerAdapter.java:877)
	at org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.handleInternal(RequestMappingHandlerAdapter.java:783)
	at org.springframework.web.servlet.mvc.method.AbstractHandlerMethodAdapter.handle(AbstractHandlerMethodAdapter.java:87)
	at org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:991)
	at org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:925)
	at org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:974)
	at org.springframework.web.servlet.FrameworkServlet.doPost(FrameworkServlet.java:877)
	at javax.servlet.http.HttpServlet.service(HttpServlet.java:661)
	at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
	at java.lang.Thread.run(Thread.java:748)
Caused by: com.fasterxml.jackson.databind.JsonMappingException: Invalid UTF-8 middle byte 0xd0
 at [Source: (ByteArrayInputStream); line: 1, column: 146]
 at [Source: (ByteArrayInputStream); line: 1, column: 143] (through reference chain: com.yanhua.ydyh.mobilenurse.vo.BaseListVo["LstRow"]->java.util.ArrayList[0]->com.yanhua.ydyh.mobilenurse.vo.patient.EscortsInformationVo["CPHRXB"])
	at com.fasterxml.jackson.databind.JsonMappingException.wrapWithPath(JsonMappingException.java:391))
	at com.fasterxml.jackson.databind.deser.BeanDeserializer.deserialize(BeanDeserializer.java:159)
	at com.fasterxml.jackson.databind.ObjectMapper._readMapAndClose(ObjectMapper.java:4013)
	at com.fasterxml.jackson.databind.ObjectMapper.readValue(ObjectMapper.java:3084)
	at org.springframework.http.converter.json.AbstractJackson2HttpMessageConverter.readJavaType(AbstractJackson2HttpMessageConverter.java:235)
	... 55 common frames omitted
Caused by: com.fasterxml.jackson.core.JsonParseException: Invalid UTF-8 middle byte 0xd0
 at [Source: (ByteArrayInputStream); line: 1, column: 146]
	at com.fasterxml.jackson.core.JsonParser._constructError(JsonParser.java:1804)
	at com.fasterxml.jackson.core.base.ParserMinimalBase._reportError(ParserMinimalBase.java:669)
	at com.fasterxml.jackson.core.json.UTF8StreamJsonParser._reportInvalidOther(UTF8StreamJsonParser.java:3543)
	at com.fasterxml.jackson.databind.deser.BeanDeserializer.deserializeFromObject(BeanDeserializer.java:369)
	... 65 common frames omitted

这问题就是在说:有中文但是没有用utf-8编码,因为spring框架默认的不是用utf-8编码
在这里插入图片描述
注意查看代码这两个地方是否使用utf-8编码,都是粗心惹的祸!
嗷呜 再次完成了领导的需求,下班~

奔跑的闲鱼码农
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springbootsql注入 & sql攻击
jancislo的博客
06-28 1万+
1.编写  XssHttpServletRequestWrapperimport javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XssHttpServletRequestWrapper extends HttpServletReque...
sql 注入POST Get 请求参数到Body常用正则表达式
andy5520的博客
03-31 1213
sql 注入POST Get 请求参数到Body常用正则表达式
springboot自带filter实现sql注入过滤器
leveretz的博客
12-29 2469
springboot自带filter实现sql注入过滤器
Spring Boot 如何护 XSS + SQL 注入攻击 ?终于懂了
Mr丶·Zhou博客
05-16 964
这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?SQL注入攻击是最古老,最流行,最危险的Web应用程序漏洞之一。存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,能够提高效率,原因是sql已编译好,再次执行时无需再编译。
SpringBoot中Post请求参数过滤SQL止注入
cszzl123的博客
09-15 894
【代码】SpringBoot中Post请求参数过滤SQL止注入。
SQL盲注SQL注入 - SpringBoot配置SQL注入过滤器
C3Stones
09-17 2392
1. SQL盲注SQL注入   风险:可能会查看、修改或删除数据库条目和表。原因: 未对用户输入正确执行危险字符清理。固定值: 查看危险字符注入的可能解决方案。 2. pom.xml添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spr...
实现Request body和Response body加解密
qq_33300929的博客
08-16 687
java body 加解密
Java开发案例-springboot-47-整合Mybatis-Flex操作SQL-源代码+文档.rar
最新发布
05-31
Java开发案例-springboot-47-整合Mybatis-Flex操作SQL-源代码+文档.rar Java开发案例-springboot-47-整合Mybatis-Flex操作SQL-源代码+文档.rar Java开发案例-springboot-47-整合Mybatis-Flex操作SQL-源代码+文档.rar...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,...
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
(1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT ...
springboot+mybatis+sqlserver 仓库管理系统
05-27
SpringBoot+Mybatis+SQLServer构建的仓库管理系统详解》 在现代企业信息化管理中,仓库管理系统扮演着至关重要的角色,它能够有效地管理和追踪库存,提高运营效率。本项目是基于SpringBoot框架,结合Mybatis持久...
springboot+mybatis+sqlserver
04-12
【标题】"springboot+mybatis+sqlserver"是一个基于Spring Boot、MyBatis和Microsoft SQL Server构建的基础开发框架,适用于快速开发企业级应用。这个框架整合了三个关键组件,旨在简化开发流程,提高开发效率。 ...
Postman使用AES加密并更换请求body
Interesting
06-29 3328
Postman需要修改请求体,然后再传给后端,这里是在前置脚本中,做了AES加密并修改为jsonbody发给后端
SpringBoot项目Sql注入拦截器
qq_29991719的博客
12-08 1553
Sql注入拦截器
springboot sql注入,非法字符正则
清心寡欲的博客
10-27 833
/编译正则表达式,并创建Pattern类。// 通过对象的find方法就是查找有没有满足条件的子串。// 通过模式对象得到匹配器对象。return AjaxResult.error("sql脚本含有非法字符!
接口测试——requests请求加密接口
Asaasa1的博客
08-20 901
在做接口测试的过程中,为了安全着想通常都会用到加密的形式。参数需要通过md5加密过后,然后再进行去请求。那么如果在做接口自动化的过程中遇到了,应该怎么做呢? hashlib 这里先引入python库—hashlib。hashlib是一个提供字符串加密功能的模块,包含MD5和SHA的算法。 下面我们先举个小的例子来认识如何通过hashlib进行完成md5加密 使用方法: # cdoing:utf-8 import hashlib # 字符串 a = 'name=anjing,age=18,sex=male'
springbootsql注入过滤器研发踩坑总结 - HTTP请求的输入流只能读取一次导致的Required request body is missing异常的解决方案
qq_41980872的博客
07-18 499
这篇文章总结了一次Sql注入过滤器开发过程中踩过的坑。包括HTTP请求的输入流只能读取一次导致的Required request body is missing异常的解决方案,以及以深度优先遍历方式获取JSON字符串中每一个字段的值的方式。积累经验,日拱一卒,希望能成为更好的自己~
Springboot使用CrosXssFiltersql注入xss攻击cros跨域等
程序员小明1024
12-19 951
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
SpringBootSQL注入XSS攻击CROS跨域
weixin_43890927的博客
05-06 143
【代码】SpringBootSQL注入XSS攻击CROS跨域。
springbootsql注入
08-12
引用中的代码展示了如何在Spring Boot中使用过滤器来SQL注入。在这个例子中,注册了一个名为XssAndSqlFilter的过滤器,并在WebConfig类中进行了配置。该过滤器能够过滤所有的请求,并对参数进行检查,止包含不允许的SQL关键词。具体的御策略可以在XssAndSqlFilter类中进行定制。通过这种方式,可以有效地SQL注入攻击。 总结起来,要在Spring Boot中SQL注入,可以采取以下步骤: 1. 创建一个过滤器类,实现对请求参数的检查和过滤,止包含不允许的SQL关键词。 2. 在WebConfig类中注册并配置该过滤器,指定过滤的URL路径和优先级。 3. 配置过滤器的参数,包括排除的URL路径和是否包括富文本内容。 4. 部署你的Spring Boot应用,确保过滤器生效。 通过以上步骤,你就可以有效地在Spring Boot应用中SQL注入攻击了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [SpringBootSQL注入和XSS攻击](https://blog.csdn.net/weixin_44316527/article/details/106505054)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [【SpringBoot学习】23、SpringBoot SQL注入、XSS攻击、CSRF/CROS恶意访问](https://blog.csdn.net/qq_38762237/article/details/114974063)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值