阻止用户通过URL方式访问处理程序

最新推荐文章于 2022-12-11 00:33:55 发布
最新推荐文章于 2022-12-11 00:33:55 发布
阅读量217 收藏
点赞数
文章标签: JSP IE Tomcat Servlet
本周密报卡遇到个问题,有人仅通过输入1位密报卡坐标和对应key,就可以解绑密报卡。

通过调查,我发现有用户通过ie查看源代码后,自己拼写链接地址,传递参数,将本来随机生成的3个坐标的值都设成了同一值,成功解绑。



考虑了一下,写了段程序,阻止用户通过URL方式访问处理程序(针对jsp和servlet)。





//forbid url attack start

//url's parameters

String strURL = request.getQueryString();

boolean flagURL = true;

//一般咱们的画面都是通过post方式提交的,因此request.getQueryString();的值应该为null, 用户拼链接是get方式提交,参数会被付在url中

if (strURL != null) flagURL = false;

//original jsp's url

strURL = request.getHeader("Referer");

if (strURL == null) {

flagURL = false;

} else {

String temp[] = strURL.split(".jsp");

strURL = temp[0];

String strAimURL = request.getRequestURL().toString();

temp = strAimURL.split(".jsp");

strAimURL = temp[0];

int index = strAimURL.lastIndexOf("/");

strAimURL = strAimURL.substring(0, index) + "/ClientRegister";

//判断两个源画面地址是否相同,我这个画面的原画面是ClientRegister.jsp,因此我判断访问我当前这个画面的原画面是否是ClientRegister.jsp

//之所以加上这个判断,是因为我担心有的捣乱者会在本地运行tomcat等服务器,写一个简单的jsp,通过post方式访问咱们的处理画面

if (strURL.equals(strAimURL) == false) flagURL = false;

}

if (flagURL == false) {

response.sendRedirect("ClientRegister.jsp?err=105");

return;

}

//forbid url attack end
逆风突围
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
laravel-surveillance:监视恶意用户,IP地址和匿名浏览器指纹,记录他们访问URL阻止恶意用户访问Laravel应用
02-03
Laravel监视 Laravel Surveillance是一个软件包,用于监视恶意用户,IP地址和匿名浏览器指纹,编写监视日志并阻止恶意用户访问应用程序。 请在使用此软件包之前阅读下面的重要信息该软件包收集和处理可能是个人...
解决弹出的窗口会被浏览器阻止的问题
weixin_30362233的博客
04-19 674
常用的打开新窗口的方式 1、window.open() 2、用a标签的target="_blank"   在模板中插入一个a标签,然后javascript去触发a链接的click,实现跳转。(该方法在jQuery跟js中有坑...) <a href="http://wuliv.com" id="openNew"></a> $('#openNew')[0].cl...
网站阻止bing搜索收录的方法
12-11 575
阻止 URL(在您的网站上发布)显示在必应搜索结果中的最佳方法是添加元标记到网页的 HTML 标头。必应机器人需要读取此标记 页面;当您需要快速阻止网站上的页面时,即在修复元数据之前,阻止URL功能可以提供帮助 或完全删除您不希望搜索者看到的页面。此功能 - 您将找到 在左侧导航中的“配置”下 - 允许您暂时阻止页面,目录URL以及缓存 页面不会显示在必应搜索结果中。如果在 90 天后仍需要手动阻止 URL 或缓存,则需要使用扩展扩展来扩展阻止 每个被阻止URL 的上下文菜单中的按钮。
如何为你的 Windows 应用程序关联 URL 协议,以便在浏览器中也能打开你的应用
walterlv - 吕毅
04-06 1万+
移动程序关联 URL 是常态,桌面应用程序其实也早就支持关联 URL 以便在浏览器中打开。当我们的程序关联了一个 URL 协议之后,开发的网站上就可以通过这个 URL 与程序进行互操作,这很互联网。 对于 Windows 桌面应用来说,关联一个 URL 协议是通过修改注册表来实现的。本文介绍如何为你的应用关联一个 URL 协议。 本文内容URL 协议注册一个 URL 协议好好想一个协议名称在注册...
面试题目总结一
从放弃到开始
08-27 1713
马上又到了金九银十是招聘的旺季:博主这里收集了一些相应的面试题目,提供给大家参考学习!!!!!!!!当然这里也仅仅是参考,更多的知识还是自己不断的去积累学习掌握!!! String、StringBuffer、StringBuilder的区别 1、先介绍三者的相同之处:都可用于存储字符串,但是在存储的过程中又有不同之处:string只能存放不可变的字符串,而stringbuffer与string...
ist的matlab代码-accessdenied:拒绝访问:在前端阻止文章或类别访问(离线+无访问权限)
05-26
是的matlab代码拒绝访问 在前端屏蔽文章 使用此附加组件,类别和文章可以进一步扩展状态(该结构没有补丁,可以通过EP进行整洁)。...由于URL不同,即使对于已登录的用户,也可能无法访问多域环境中的文章。 我正
Boom! URL-crx插件
04-03
选择并单击“右侧”以预览和访问更多选项此工具是使用空格打开解锁URL的,而无需将它们直接复制到浏览器。 在论坛和评论区域中添加URL,可以添加空格以避免管理员阻止。 指示: 1.使用空格选择URL。 2.右键单击。 3...
PhishBlock:该程序可以检测并阻止网络钓鱼,域名欺骗,黑客的C&C。-开源
05-13
最近,大多数恶意软件代码都是通过用户经常访问的Google广告,SNS,博客,BBS等秘密地发送到用户的个人计算机上的。 并且,在恶意软件代码连接到C&C服务器(或僵尸网络)之后,它们反复不断地攻击和窃取信息。 ...
PhishBlock:一种检测和阻止网络钓鱼、网络钓鱼、黑客 C&C 的程序。-开源
07-10
近来,大多数恶意代码通过用户经常访问的谷歌广告、SNS、博客、BBS等隐蔽地传送到用户的个人电脑上。 并且恶意代码连接C&C服务器(或僵尸网络)后,反复且持久地进行攻击、窃取信息。 目前,缺乏负担得起的软件来...
前端开发面试问题及答案整理
飞鸟Blog
11-08 5077
说说你对闭包的理解 使用闭包主要是为了设计私有的方法和变量。闭包的优点是可以避免全局变量的污染,缺点是闭包会常驻内存,会增大内存使用量,使用不当很容易造成内存泄露。 闭包有三个特性: 1.函数嵌套函数 2.函数内部可以引用外部的参数和变量 3.参数和变量不会被垃圾回收机制回收 请你谈谈Cookie的弊端 cookie虽然在持久保存客户端数据提供了方便,分担了服务器
关于IE弹出窗口的禁止/允许及URL获取小结
zcsor的专栏
05-29 5154
VB6代码可能大家都很熟悉了,不过为了便于对照,还是贴上来,这部分是转帖,转自 http://support.microsoft.com/kb/185538/zh-cn Option Explicit Dim WithEvents Web_V1 As SHDocVwCtl.WebBrowser_V1 Private Sub Form_Load() Set Web_V1 = WebB
防止用户直接访问url的权限控制
阿狸_桃子
05-20 8250
这是个过滤器的内容, public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) reques
java安全漏洞-防止用户直接访问url
u011041009的博客
11-05 1509
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
java解决限制访问指定url
congge
04-24 7652
前言 在web项目交付阶段,很多交付的小伙伴们会面临的一个问题就是安全漏洞扫描,关于安全漏洞问题,可以分为很多种,但从扫描者的角度,一旦他们认为你的后端服务接口暴露的太多,或过于明显,或没有前置的安全措施(通过登录的方式)就能拿到后台的数据,这样显然是不合理的,一旦扫出这样的接口,那么面临的一个问题就是,解决接口暴露的问题 关于这个问题,其实说起来,还是跟系统在一开始的规划设计阶段的安全考虑不够完备,比如你的后台项目是否需要做必要的鉴权,是否集成了第三方安全框架等,如果在项目框架搭建之初,就能考虑到这些问题
登录界面拦截java_java拦截通过url访问页面,必须通过登录页面访问目标页面
weixin_35150962的博客
02-16 656
在web.xml中配置过滤:LoginFiltercom.verification.action.LoginFilterLoginFiltery/form/dealParse.do/* 拦截所有请求/.do 拦截以“.do”结尾的请求/index.jsp 拦截指定的jsp/artery/form/* 拦截该目录下的所有请求等等拦截器,拦截请求类:思路:比较“由登录页面登录后的sessio...
Spring MVCServlet拦截匹配规则可以自已定义,Servlet拦截哪种URL合适?
萌萌的It人 www.itmmd.com
07-21 4353
Servlet拦截匹配规则可以自已定义,Servlet拦截哪种URL合适? 当映射为@RequestMapping("/user/add")时:1、拦截*.do,例如:/user/add.do,弊端:所有的url都要以.do结尾。不会影响访问静态文件。2、拦截/app/*,例如:/app/user/add,弊端:请求的url都要包含/app,@RequestMapping("/user/add")
禁止用户访问servlet
zhangzhifei1991的专栏
11-03 836
使用MVC模式,servlet只用于逻辑处理,这样的
处理解决网站被百度网址安全中心提醒您:该页面可能存在违法信息!的方案分享
热门推荐
网站安全专家
06-26 2万+
2018年6月26日我们Sine安全公司接到新客户的安全求助,网站被阿里云提示:违规URL屏蔽访问处理通知,导致网站无法访问,打开网站并提示该内容被禁止访问。导致客户的网站流量急剧下滑,网站的用户都无法正常的登陆会员系统,损失较大,官方网站的形象受到严重的影响。客户反映说,第一时间打开网站就是提示该内容被禁止访问,紧接着收到了一份来自阿里云的”违规URL屏蔽访问处理通知”邮件提醒,邮件内容如下:您...
asp.net routing html文件不能访问,ASP.NET MVC 阻止通过URL访问服务器上的静态资源文件...
最新发布
05-26
这是因为 ASP.NET MVC 默认会阻止通过 URL 直接访问服务器上的静态资源文件。 为了解决这个问题,我们可以在 `Web.config` 文件中添加以下配置,允许访问静态资源文件: ```xml *.html" verb="*" type=...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值