SpringBoot安全漏洞SQL注入和XSS攻击简介说明

最新推荐文章于 2024-07-29 09:37:33 发布
最新推荐文章于 2024-07-29 09:37:33 发布
阅读量794 收藏
点赞数
分类专栏: Spring boot 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25073223/article/details/127957634
版权

转自:

SpringBoot安全漏洞SQL注入和XSS攻击简介说明

下文笔者讲述springboot安全漏洞中sql注入和xss注入的处理方法简介说明,如下所示

实现思路:
    1.自定义HttpServletRequestWrapper类,实现SQL和XSS 过滤
	2.自定义filter
	3.注册filter,使其发挥功效

例:

自定义HttpServletRequestWrapper类
   实现SQL和XSS 过滤

package com.java265.sql.filter; 
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;
import java.util.Set;
import java.util.Vector;
import java.util.regex.Pattern;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.springframework.util.StreamUtils;
 
public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {
	 HttpServletRequest orgRequest = null;
	    private Map<String, String[]> parameterMap;
	    private final byte[] body; //用于保存读取body中数据
 
	    public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) throws IOException{
	        super(request);
	        orgRequest = request;
	        parameterMap = request.getParameterMap();
	        body = StreamUtils.copyToByteArray(request.getInputStream());
	    }
 
	    // 重写几个HttpServletRequestWrapper中的方法
	    /**
	     * 获取所有参数名
	     *
	     * @return 返回所有参数名
	     */
	    @Override
	    public Enumeration<String> getParameterNames() {
	        Vector<String> vector = new Vector<String>(parameterMap.keySet());
	        return vector.elements();
	    }
 
	    /**
	     * 覆盖getParameter方法,将参数名和参数值都做xss & sql过滤。<br/>
	     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
	     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
	     */
	    @Override
	    public String getParameter(String name) {
	        String[] results = parameterMap.get(name);
	        if (results == null || results.length <= 0)
	            return null;
	        else {
	            String value = results[0];
	            if (value != null) {
	                value = xssEncode(value);
	            }
	            return value;
	        }
	    }
 
	    /**
	     * 获取指定参数名的所有值的数组,如:checkbox的所有数据 接收数组变量 ,如checkobx类型
	     */
	    @Override
	    public String[] getParameterValues(String name) {
	        String[] results = parameterMap.get(name);
	        if (results == null || results.length <= 0)
	            return null;
	        else {
	            int length = results.length;
	            for (int i = 0; i < length; i++) {
	                results[i] = xssEncode(results[i]);
	            }
	            return results;
	        }
	    }
 
	    /**
	     * 覆盖getHeader方法,将参数名和参数值都做xss & sql过滤。<br/>
	     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
	     * getHeaderNames 也可能需要覆盖
	     */
	    @Override
	    public String getHeader(String name) {
 
	        String value = super.getHeader(xssEncode(name));
	        if (value != null) {
	            value = xssEncode(value);
	        }
	        return value;
	    }
 
	    /**
	     * 将容易引起xss & sql漏洞的半角字符直接替换成全角字符
	     * 
	     * @param
最低0.47元/天 解锁文章
qq_25073223
关注
专栏目录
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
一、项目演示 (1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT NULL, "name" varchar(255) COLLATE "pg_catalog"."default", "password" varchar(255) COLLATE "pg_catalog"."default" ) ; DROP TABLE IF E
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
技术干货 | 针对Spring-Boot 框架漏洞的初探
最新发布
2301_80127209的博客
07-29 2318
这篇文章主要是给师傅们介绍下Spring-Boot 框架漏洞的打法以及主要对于Spring-Boot漏洞的接口泄露信息进行一个分析,后面使用了曾哥的Spring-Boot漏洞扫描工具,可以很大减轻我们对于这个漏洞接口的分析。
代码审计.Springboot(ruoyi).SQL注入
qq_34012951的博客
02-28 340
1、\确定持久层框架。
JAVA代码审计之SQL注入,基于Spring boot和jdbc以及mybatis
GXcodes的博客
08-02 3129
本节讲述JavaWeb代码审计中存在SQL注入漏洞的情况。基于spring boot,mysql,两种连接方式:jdbc和mybatis。代码比较多,适合自己创建项目,跟着走一遍,如果只想了解原理,可以忽略代码,只看大概即可。比如Controller类或者sql语句的编写。SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互中,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数中,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。
Springboot配置XSS攻击&Sql注入(完整版)
Zhangmaoyang的博客
07-05 7039
Springboot配置防XSS攻击&Sql注入(含Post请求、跳过文件上传、跳过自定义路径)
预防XSS攻击SQL注入XssFilter
05-19
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin...
使用Filter针对Xss攻击sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper...
springboot整合XSS
03-20
2. 使用安全的编程模式,例如预编译SQL语句以防止SQL注入,同时也能防止XSS。 3. 使用最新的安全框架和库,定期更新以修复已知漏洞。 4. 在服务器端和客户端同时实施防护策略,提高安全性。 5. 建立严格的访问控制和...
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
m0_71777195的博客
03-21 1217
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
如何使用SpringBoot写一个带sql注入的程序?
爱抠脚的大叔
05-25 1411
本专栏旨在发现一个问题,解决一个问题,欢迎评论区提出一个问题,欢迎订阅,持续更新。
springboot防止XSS攻击sql注入
02-22 1952
springboot防止XSS攻击sql注入
SpringBoot项目防止Sql注入
Aguai229的博客
03-01 6508
由于我们的项目遭受了一次sql注入攻击,被批评的头破血流,马不停蹄安排起来。 首先,了解一下@WebFilter注解 @WebFilter 用于将一个类声明为过滤器,被@WebFilter注解的类,会在容器启动时被加载,并进行属性配置。具体的参数就不详细放出来了。initParams是该过滤器的初始化参数。 @Slf4j @Component @WebFilter(urlPatterns = "/*", filterName = "SQLInjection", initParams =
Spring Boot 防护 XSS + SQL 注入攻击
一米九的博客
03-28 1976
不管输入什么参数,打印出的sql都是这样的。这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?存储型XSS: 存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,能够提高效率,原因是sql已编译好,再次执行时无需再编译。
springboot-防止sql注入xss攻击,cros恶意访问
weixin_45817985的博客
07-17 1485
springboot-防止sql注入xss攻击,cros恶意访问
SpringBoot 安全漏洞SQL注入XSS攻击
zhouzhiwengang的专栏
11-09 646
1、自定义HttpServletRequestWrapper类,实现SQL和XSS 过滤 package com.zzg.sql.filter; import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; import java.util.Enumeration; import java.util.Has
利用spring AOP 实现 sql注入检测
三三两两的博客
05-20 965
转https://blog.csdn.net/weixin_41922289/article/details/88267790 利用spring AOP 实现 sql注入检测 什么是sql注入? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入...
Springboot集成防sql注入设置
hao_kkkkk的专栏
10-21 3247
sql注入 安全开发 springboot
Web安全编程规范:防止SQL注入XSS攻击
"SQL注入和XSS跨站攻击安全规范1" SQL注入和XSS跨站攻击是两种常见的网络安全威胁,主要源于开发过程中对用户输入数据处理不当。此文档旨在为开发人员提供关于如何防范这两种攻击的安全编码规范。 一、SQL注入攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值