闭关修炼(二十五)基础web安全

最新推荐文章于 2022-10-26 11:42:53 发布
最新推荐文章于 2022-10-26 11:42:53 发布
阅读量258 收藏
点赞数
分类专栏: java闭关修炼
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19841133/article/details/113246913
版权

不是特别难,主要是积累经验

赶紧学springboot去了,好拖延啊。捂脸

文章目录

常见的攻击有哪些?

SQL注入,XSS,CSRF(和表单重复提交是一个类型)

最基本的WEB安全防范:密码设为英文+数字+特殊符号,访问白名单

表单重复提交

表单重复提交十分常见,

表单重复提交主要原因是网络延迟

简单的处理办法是前端使用token

但是无法防止模拟http请求

先模拟问题发生

写一个form.jsp

<html>
  <head>
    <title>$form$</title>
  </head>
  <form action="${pageContext.request.contextPath}/DoFormServlet" method="post">
    用户名:<input type="text" name="userName">
    <input type="submit" value="提交" id="submit">
  </form>
  <body>
  </body>
</html>

写个servlet用于调用

@WebServlet("/DoFormServlet")
public class DoFormServlet extends HttpServlet {
    @SneakyThrows
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        req.setCharacterEncoding("utf-8");
        String username = req.getParameter("userName");
        Thread.sleep(3000);
        System.out.println("插入数据..");
        resp.getWriter().println("success");
    }
}

启动页面
在这里插入图片描述
输入123提交,Thread.sleep(3000);延迟了3秒,模拟网络延迟,页面不会立即进行跳转,这时就可以多次点击点击提交按钮,造成表单重复提交

在这里插入图片描述
后台打印
在这里插入图片描述

前端解决方法

提交后,按钮变灰,多一个标识判断,这种做法可以,但是有局限性,不能防止刷新重新加载的重复提交

<html>
<head>
    <title>form</title>
</head>

<script type="text/javascript">
    let submitFlag = false // 没有点击为false
    function isNoSubmit() {
        // 还没提交返回true
        if (!submitFlag) {
            submitFlag = true
            return true
        }
        // 提交了返回false
        return false
    }

</script>
<form action="${pageContext.request.contextPath}/DoFormServlet"
      method="post"
      onsubmit="return isNoSubmit()">

    用户名:<input type="text" name="userName"/>
    <input type="submit" value="提交" id="submit"/>

</form>
<body>
</body>
</html>

使用token来解决

token身份令牌,证明有效期和身份

思路:
请求一个Sevlet生成token存放在session中,转发到form.jsp,此时jsp携带一个token并附着表单进行提交,到DoFormServlet,判断token是否有效,DoFormServlet判断步骤如下:

  1. 如果从session中获取到的token,和表单发来的一致,说明是第一次的发来请求,处理业务完毕后删除sessiom的token,表示这个token已失效。

  2. 如果seesion中没有这个token,说明token已经被用过了。

  3. 如果传来的token为空或者和session的token不一致,说明被恶意伪造了token

写ToFromServlet生成token并作转发

@WebServlet("/ToFromServlet")
public class ToFromServlet extends HttpServlet {
    @SneakyThrows
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        String token = UUID.randomUUID().toString();
        System.out.println("生成Token:"+token);
        req.getSession().setAttribute("sessionToken", token);
        req.getRequestDispatcher("form.jsp").forward(req, resp);
    }
}

修改form.jsp,添加一个hidden域

<html>
<head>
    <title>form</title>
</head>

<script type="text/javascript">
    let submitFlag = false // 没有点击为false
    function isNoSubmit() {
        // 还没提交返回true
        if (!submitFlag) {
            submitFlag = true
            return true
        }
        // 提交了返回false
        return false
    }

</script>

<form action="${pageContext.request.contextPath}/DoFormServlet"
      method="post"
      onsubmit="return isNoSubmit()">
        <input type="hidden" value="${sessionToken}" name="sessionToken">
    用户名:<input type="text" name="userName"/>
    <input type="submit" value="提交" id="submit"/>

</form>
<body>
</body>
</html>

最后在doFormServlet添加session判断

@WebServlet("/DoFormServlet")
public class DoFormServlet extends HttpServlet {
    @SneakyThrows
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        if (!isFlag(req,resp)){
            resp.getWriter().println("fail");
            System.out.println("已经提交了...");
            return;
        }

        req.setCharacterEncoding("utf-8");
        String username = req.getParameter("userName");
        Thread.sleep(3000);
        System.out.println("插入数据..");
        resp.getWriter().println("success");
    }

    public boolean isFlag(HttpServletRequest req, HttpServletResponse resp){
        String sessionToken = req.getParameter("sessionToken");
        String sessionToken1 = (String) req.getSession().getAttribute("sessionToken");
        if(StringUtils.isNullOrEmpty(sessionToken)){
            System.out.println("sessionToken为null");
            return false;

        }
        if (StringUtils.isNullOrEmpty(sessionToken1)){
            System.out.println("sessionToken1为null");
            return false;

        }
        if(!sessionToken1.equals(sessionToken)){
            System.out.println("伪造token");
            return false;
        }

        req.getSession().removeAttribute("sessionToken");
        return true;

    }
}

访问/ToFromServlet即可

测试,后台打印:
在这里插入图片描述

接口如何防止模拟http请求

带上token,保证唯一性,难以伪造。但是生成token方式可以破解的,还是可以模拟请求,这时如何解决呢?

使用验证码,证明自己不是机器人

token+验证码完整解决防止模拟请求

使用Filter防止XSS攻击

什么是XSS攻击?
XSS也叫脚本注入

XXSS攻击常发生在:有个表单在页面中,当提交时,参数提交,让数据展示在页面时,突然弹窗或者页面发生了跳转

如我注入的内容是location.href,当你访问一个页面立马跳转到钓鱼网站了,用户登陆界面完全一样。(我全防去出去了啊)

模拟XSS攻击

我们写脚本进行注入
在这里插入图片描述
一点提交就弹窗
在这里插入图片描述
想想如果这个脚本是在留言区/评论区的话,别的用户点进来就被弹窗。

XSS页面跳转也写进来

<script>alert('攻击成功');window.location.href='http://www.baidu.com';</script>"

别人在一个页面访问好端端,然后突然跳转到了登陆界面,界面一模一样,这就是钓鱼网站攻击,也是XSS的一种

如何防范?

原理是XSS的标签被html解析了,我们转义标签即可。

继承HttpServletRequest重写getParameter方法

public class XssHttpServletRequest extends HttpServletRequestWrapper {
    HttpServletRequest request;

    public XssHttpServletRequest(HttpServletRequest request) {
        super(request);
        this.request = request;
    }

    @Override
    public String getParameter(String name) {
        String value = request.getParameter(name);
        if (!StringUtils.isEmpty(value)){
            value = StringEscapeUtils.escapeHtml4(value);
        }
        return value;
    }
}

写Filter,将我们的XssHttpServletRequest传过去,这样getParameter会转义字符

@WebFilter(filterName = "XSSFilter", urlPatterns = { "/*" })
public class XSSFilter implements Filter {
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        XssHttpServletRequest xssHttpServletRequest = new XssHttpServletRequest(req);
        chain.doFilter(xssHttpServletRequest, response);

    }

    public void destroy() {

    }
}

再次测试,这样<>就被转义了,破坏了标签
在这里插入图片描述

SQL注入

没啥好讲的了,

有那么几种办法防范:
1、PreparedStatement
2、使用正则表达式过滤传入的参数
3、字符串过滤
4、检查是否包函非法字符

然后他啪的一下就站起来了啊,很快啊,然后上来就是一个端口扫描,一个密码暴力破解,一个大杀四方。我全都防出去,防出去了,啊。防出去了以后自然是传统以点到为止,我大意了啊,没有闪。

后面开个新专栏吧,闭关修炼专栏这都到25了都。

likeGhee
关注
专栏目录
CTF修炼手册(一)
The_Cloud的博客
05-15 1140
    本人大三学生,专业为软件工程。以前没有接触过ctf,近期参加了一个校内的小型的算是ctf比赛,被学弟各种血虐,在赛场的我十分尴尬。二来,觉得在比赛过程中经过脑力思考得到flag的感觉真的很爽!三来,ctf比赛中涉及的方方面面的东西还有有利于以后的专业技术的发展的。所以,就有了这个博客系列。    不可否认,想成为一个ctf大神是需要很多方面的知识的,一个外行入门是十分困难的(不是计算机行业...
闭关修炼(八)反射机制
qq_19841133的博客
01-09 203
文章目录反射什么是反射机制?反射机制的作用通过java反射机制创建对象例子使用默认无参构造函数创建对象使用有参构造函数创建对象怎么禁止反射机制?spring中的运用场景jdbc中的运用场景使用反射机制访问方法和属性访问属性访问方法给私有属性赋值乞丐版springIOC实现什么是springIOC?springioc过程springioc创建对象实现思路实现 反射 什么是反射机制? 反射机制就是正在运行(的程序中)动态获取类的所有信息。 反射机制的作用 反编译:.class -> .java。
闭关修炼
weixin_34152820的博客
04-18 225
这几天特别关注藏独事件,千万网友齐发言论抵制家乐福。我也当了一次愤青,偷偷的,只有我自己知道。很多天没更新偶的blog了,不是想偷懒,实在是没什么项目可做,没啥心得可写了。本想写点生活琐事或心情什么的,可又怕污染了这个技术空间,到处都弥漫腐朽的味道,就这么搁下吧。做维护许久了,才发现,自己的技术越来越不行了。总是做拾人牙慧却毫无创新的工作,让我从身体和心理上都觉得乏味。这可和自身的性格迥然有异,我...
巅峰极客第一场CTF部分writeup
郁离歌丶的博客
07-22 6147
额,上午驾校学车,中午打了会儿安恒的月赛,就来看巅峰极客的题了。时间关系实力原因没做几个emmmm太菜了wa MISC-warmup-100pt 拿到一个bmp文件,套路走一波,右键查看属性emmm啥都没有。 丢到winhex里面也没有什么明显的提示或者信息。 放大招:stegsolve。放在各个颜色通道里面过一遍。 可以明显的看到每个颜色通道的最低位有异常数据。 将数据提取出来 ...
LoadTheDisplayBarDynamically.rar
01-27
动态显示条纹加载,利用ProgressBar实现,通过button按钮控制。
闭关修炼(十五)JVM参数调优
qq_19841133的博客
01-14 211
文章目录Java虚拟机什么是java虚拟机Java内存结构什么是java内存结构堆垃圾回收机制垃圾回收机制的作用 Java虚拟机 什么是java虚拟机 所谓虚拟机,就是一台虚拟的机器,它是一款软件,用来执行一系列虚拟计算指令,他们完全是对物理计算的仿真,提供了一个可以运行完整操作系统的平台。 java虚拟机,它专门为执行单个计算程序而计算,在java虚拟机中执行的指令我们称为java字节码指令。 在虚拟机上运行的软件都限制于虚拟机提供的资源中。 Java内存结构 什么是java内存结构 JVM虚拟机存储空
闭关修炼(二十二)session和cookie原理
qq_19841133的博客
01-24 367
文章目录简述cookie如何创建cookie如何获取cookiecookie原理session如果创建session如何获取sessionsession原理边角料 简述 cookie和session是开发中常用的记录状态的机制。 相同点: 他们两个都可以用来存私密的东西,同样也都有有效期的说法。 cookie和session都是用来跟踪浏览器用户身份的会话方式。 不同点: cookie数据保存在客户端,session数据保存在服务器端。 session是放在服务器上的,过期与否取决于服务器的设定,c
闭关修炼(二十三)浅入了解http协议
qq_19841133的博客
01-24 211
文章目录HTTP概述同步与异步HTTP请求组成使用时间戳解决浏览器缓存不一致问题防盗链技术HTTP响应码重定向与转发的原理HTTPS和HTTP区别HTTPS连接过程SSL证书认证长连接和短连接 HTTP概述 http协议是对浏览器客户端和服务器端之间数据传输的格式规范 客户输入url,向服务器发送请求request,服务器响应客户端response, 同步与异步 在BS架构(HTTP)中同步和异步的概念和多线程是不一样的。 在HTTP中同步应该理解为请求立马响应的过程。如果请求时服务器在工作,服务器立即响
闭关修炼(二十四)浅入了解跨域问题
qq_19841133的博客
01-25 340
本来想说是深入研究一下,但是水平有限,也就是手放在水面往下多0.25厘米的深度的样子 ,掠于皮毛。 文章目录什么是跨域问题跨域问题模拟跨域问题如何解决response添加请求头解决跨域问题jsonp解决跨域问题httpclient内部转发解决跨域问题写在后面 什么是跨域问题 跨域其实是浏览器的一个安全机制,请求访问域名与AJAX请求地址不一致,浏览器会无法返回请求结果。 具体的例子,现在我在浏览器访问url地址www.aaa.com/a,而这个页面后台服务器又发送请求给www.bbbb.com/b,因为
Java闭关修炼64课 很适合新手学习的JAVA视频教程
zgf1229507902的专栏
12-14 637
Java闭关修炼64课 很适合新手学习的JAVA视频教程 java闭关修炼第一课 什么是java(1).rar   java闭关修炼第一课 什么是java.rar   java闭关修炼第七课 基础语言要素(1).rar   java闭关修炼第七课 基础语言要素.rar   java闭关修炼第三十一课 静态方法(1).rar   java闭关修炼第三十一课 静态方法.rar  
春招闭关修炼计划表1
08-08
春招闭关修炼计划是为求职者在春季招聘季前进行自我提升的一个详尽的学习计划,主要针对互联网大厂如百度、阿里、腾讯、字节跳动等以及TMD公司(今日头条、美团、滴滴)的软件开发岗位。这个计划涵盖了前端开发、...
Java基础Web基础
weixin_56859779的博客
08-02 666
----------------------------------------------------------------------- ----------------------------------------------------------------------- ----------------------------------------------------------------------- ----------------------------------------
office在线预览哪家强?不能播放ppt动画,不能监听翻页?
前端阿飞V的博客
10-26 1079
众所周知,word、excel、ppt 和 pdf 文件在线预览有很多解决方案,但大多无法播放 ppt 动画,或者功能非常单一。这不,最近产品经理闭关修炼三天,提出了如下需求: 监听文档翻页,根据页码执行相应的操作 文档转图片,每一页转成一张图片 ppt 动画、内嵌视频在线播放 ppt 多人同步播放 ppt 画板功能 今天就给大家介绍一下几种主流的文档预览方案,有免费,有收费的,希望对大家有所帮助。
宅家30天,吃透这份测试工程师面试700道题解析,成功定级阿里P7
PZB924265的博客
08-25 4109
宅家里一个月,“闭关修炼”的你是不是正在为金九银十跳槽季发愁呢?小编今天说的这富含的15个互联网大厂测试工程师核心面试700题解析整理!内容包括: 软件测试基础210道面试题及答案解析 Linux54道面试题及答案解析 MySQL80道面试题及答案解析 web测试10道面试题及答案解析 接口测试35道面试题及答案解析 APP测试12道面试题及答案解析 Python106道面试题及大难解析 selenium40道面试题及答案解析 性能测试8道题面试题及答案解析 LordRunner80道面
闭关修炼(四)并发包/类
qq_19841133的博客
01-03 649
传统艺能,点到为止 文章目录并发包你接触过哪些线程安全类?你使用过哪些jdk1.5并发包下的类?Vector和ArrayListVector和ArrayList的区别Vector源码ArrayList源码Hashtable和HashMapHashtable和HashMap的区别?Hashtable和HashMap的底层实现?Hashtable put方法源码HashMap put方法源码SynchronizedMap什么是SynchronizedMap?SynchronizedMap原理?Concurre
闭关修炼(十八)maven
qq_19841133的博客
01-16 614
回家了,学习依旧 之前写了一篇关于maven的 https://blog.csdn.net/qq_19841133/article/details/109479902 文章目录Maven概述作用依赖管理项目构建功能传统项目仓库类型maven的配置maven约定java工程转换为maven工程 Maven概述 Maven 即项目对象模型(POM,Project Object Model),它可以通过一小段描述信息来管理项目的构建,报告和文档的项目管理工具软件。 它包含了一个项目对象模型,一组标准集合,一个
闭关修炼(十三)Netty5.0
qq_19841133的博客
01-13 592
Netty5 Netty有很多版本,在4的时候就有巨大的革命,很多API改了,但是基本是相同的。 官方说5不安全。 TCP粘包、拆包用netty3代码特别复杂,netty4只用分隔符进行区分就行了,比较容易一些。 jar包 <dependency> <groupId>io.netty</groupId> <artifactId>netty-all</artifactId>
闭关修炼(十六)垃圾回收机制
qq_19841133的博客
01-14 562
文章目录垃圾回收机制什么是垃圾回收机制?finalize()和System.gc()垃圾回收简要过程内存溢出与内存泄漏内存溢出和内存泄漏的区别?垃圾回收机制算法1. 引用计数算法什么是引用计数法缺点2. 复制算法什么是复制算法优缺点3. 标记清除什么是标记清除算法4. 标记压缩什么是标记压缩算法作用区域5. 分代收集什么是分代收集算法为什么垃圾回收机制频繁执行会降低程序执行效率? 垃圾回收机制 什么是垃圾回收机制? GC(garbage collector) GC不定时清理堆内存中不可达对象。 可达与不可
闭关修炼(十三)Netty入门
qq_19841133的博客
01-12 536
文章目录阻塞IO与非阻塞IO的区别同步、异步与阻塞、非阻塞阻塞与非阻塞什么是同步阻塞IO什么是伪异步阻塞IO什么是同步非阻塞IONIO的缺点什么是异步非阻塞IONIO客户端与服务端选择器keyNIO服务端NIO客户端Netty快速入门什么是netty?netty的应用场景为什么会有nettynetty案例实现导入jarNetty服务端Netty客户端 阻塞IO与非阻塞IO的区别 同步、异步与阻塞、非阻塞 NIO有两个重要的组合:通道和缓冲区,通道是传输数据,缓冲区来存放数据。 IO流又称为BIO,Bloc
闭关decimal、
最新发布
07-27
decimal是Python中的一个模块,提供了精确的十进制运算功能。它可以用于处理涉及金融、货币、精确计算等需要保留小数位数的计算。你可以使用decimal模块来执行高精度的浮点数运算,避免了常规浮点数运算中可能出现的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值