解决扫描漏洞的拦截器

于 2019-09-20 15:09:40 发布
阅读量690 收藏
点赞数
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33229669/article/details/101061180
版权 

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.ApplicationContext;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import org.springframework.web.servlet.mvc.method.RequestMappingInfo;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import java.util.Set;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

/**
 * 类名称:ScanInteceptor
 * 类描述: 解决扫描漏洞的拦截器
 * @author: 
 */
public class ScanInteceptor extends HandlerInterceptorAdapter {


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception {
        String requestPath = request.getRequestURI();
        System.out.println("拦截器 ========requestPath========"+requestPath);

        if (isSpecialChar(requestPath.toLowerCase())) {
            response.setContentType("text/html;charset=utf-8");
            response.getWriter().println("参数含有非法字符, 已禁止继续访问!");
            return false;
        }

        if (ToolUtil.isNotEmpty(request.getQueryString())) {
            if (judgeSQLInjectUrl(request.getQueryString().toLowerCase())) {
                response.setContentType("text/html;charset=utf-8");
                response.getWriter().println("参数含有非法字符, 已禁止继续访问!");
                return false;
            }
        }

        return true;
    }

    /**
     * 方法名: judgeSQLInjectUrl
     * 方法描述:  判断参数是否含有攻击字符串
     * 修改日期: 2019/9/18 15:57
      * @param toLowerCase
     * @return boolean
     * @author 
     * @throws
     */
    private boolean judgeSQLInjectUrl(String value) {
        if (value == null || "".equals(value)) {
            return false;
        }

        String xssStr ="and |or |select |insert |update |delete |drop |truncate |alert|eval";
        String[] xssArr = xssStr.split("\\|");

        //遍历是否有攻击字符串
        for (int i = 0; i < xssArr.length; i++) {

            if (value.indexOf(xssArr[i]) > -1) {
                return true;
            }
        }
        return false;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }

    /**
     * 方法名: isSpecialChar
     * 方法描述:  判断是否有特殊字符
     * 修改日期: 2019/9/18 9:25
     * @param str
     * @return boolean
     * @author 
     * @throws
     */
    private  boolean isSpecialChar(String str) {
        String regEx = "[`()|{}''\\[\\]<>()]";
        Pattern p = Pattern.compile(regEx);
        Matcher m = p.matcher(str);
        return m.find();
    }


}

注册拦截器

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 类名称:InterceptorConfig
 * 类描述:TODO
 *
 * @author: 
 * 创建时间:2019/9/18 16:19
 * Version 1.0
 */
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    /**
     * 注册自定义拦截器
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(new ScanInteceptor()).addPathPatterns("/**");

    }
}
java持续实践
关注
专栏目录
博客
java 长连接中的sse与websocket含义, 两者的区别
09-10 652
Java的长连接中,SSE(服务器发送事件,Server-Sent Events)和WebSocket是两种常用的技术,它们都用于在客户端和服务器之间保持长时间的连接,以实现实时数据传输。
博客
如何成为一个厉害的人
07-17 206
要变得厉害,需要不断学习和实践。通过以上方法,逐步提升自己的知识和技能,相信你也可以变得非常厉害。
博客
B树与B+树的区别
07-14 490
辅助索引(Secondary Index)也是 B+树结构,但叶子节点存储的是主键的值而不是行的全部数据。B+树:由于内部节点只有索引而无数据,可以在相同的磁盘块中存储更多的索引,提高了读写效率。B+树:所有数据都在叶子节点,内部节点只起到索引的作用。B+树:所有数据都集中在叶子节点,内部节点只存储索引,因此树的高度通常较低。B树:因为每个节点都存储数据和索引,磁盘读写可能涉及到更多的节点。B树:由于数据分布在所有节点上,树的高度可能会比 B+树略高。B树:数据可以在任何节点(内部节点或叶子节点)中找到。
博客
com.fasterxml.jackson.core.JsonParseException: Invalid UTF-8 start byte 0x94 解决办法 feign加拦截器
07-09 409
原因是目标feign接口的服务有一个拦截器, 会去请求头中获取用户名, 而我的请求没有加上这个请求头, 导致被拦截器拦截, 直接返回的中文字符串, 不是json ,从而报错.但是用postman单独去请求目标的feign的接口的时候, 是正常返回的json数据. 说明请求的feign接口是没有问题的.加上此拦截器后, 再次请求feign接口 , 打印的日志feign接口返回的是一个中文的报错信息 ,而不是json , 因此报了。请求feign接口的时候, 把请求头。加上用户名, 即可解决。
博客
could not find artifact avalon-framework:avalon-framework-api:pom:4.1.5-dev 解决办法
04-18 441
然后进入本地仓库的avalon-framework-api文件夹,修改maven-metadata-central.xml文件, 把里面的version只保留4.1.5。进入本地maven仓库, 修改proxool-0.9.1.pom文件, 把avalon-framework-api的版本, 直接指定为4.1.5。[4.1.5,) 这种写法就是坑爹的地方了. 导致会去加载4.1.5-dev版本, 而中央仓库没有4.1.5-dev版本.直接点击proxool 即可跳转到pom.xml中的依赖。
博客
maven手动上传的第三方包 打包项目报错 Could not find xxx in central 解决办法
03-19 285
在Maven私服手动上传了第三方的jar包, 只有jar包, 没有pom文件, 项目在ide中可以正常编译启动,但打包报错无法找到jar包。解决办法: 上传jar包的时候, 点击生成pom. 则打包的时候不会报错。
博客
Java判断是否有特殊字符串
11-03 1086
【代码】Java判断是否有特殊字符串。
博客
OkHttpClient 发送请求示例
06-08 383
【代码】OkHttpClient 发送请求示例。
博客
接口优化的18种方法
04-07 373
接口优化的18种方法。
博客
git 从tag中拉取新的分支
03-31 282
拉取最新代码git pull切到指定的 taggit checkout <tag-name>新建分支git switch -c <new-branch-name>
博客
mac homebrew fatal: not in a git directory
02-19 984
问题: 在用homebrew安装软件时, 提示报错。设置完毕后, 即可解决报错,成功安装。按照上面的提示, 在终端上执行命令。
博客
mysql order by 多字段分组取最大值
02-10 469
【代码】mysql order by 多字段分组取最大值。
博客
excel 拼接单引号
01-29 1235
【代码】excel 拼接单引号。
博客
excel 中使用vlookup函数
01-12 347
将函数所在单元格的格式改为常规或数值格式,并点击F2或者点击一下编辑栏,再点击Enter即可。选中顶行单元格,滚动条滚动到底部,按着Shift键选中底部单元格,Ctrl+D即可填充。使用函数后不显示只显示公式处理办法。vlookup函数使用方法。
博客
excel 生成sql
01-12 336
【代码】excel 生成sql。
博客
MySQL 修改默认值
12-01 603
【代码】MySQL 修改默认值。
博客
线性表01- 数组与简易接口设计
11-29 602
线性表: 具有n个相同类型元素的有限序列 n>=0线性表的元素特点是有索引, 可以通过索引快速查找到元素.a1是a2的前驱, a2是a1的后继常见的线性表数组链表栈队列哈希表 (散列表)
博客
TypeReference 用于复杂对象反序列化
11-28 653
TypeReference 中写上要反序列化的泛型。
博客
删除数据库中重复数据
11-18 528
delete from form where id not in (select min(id) from form group by parent_id, tenant_id);
博客
java正则表达式校验是否特殊字符以及空格
10-11 4037
【代码】java正则表达式校验是否特殊字符以及空格。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值