Jsp挖掘(4)-打造自己的jsp防御代码

于 2021-05-11 14:33:24 发布
阅读量102 收藏 1
点赞数
分类专栏: 网络安全 代码分析 文章标签: java servlet jsp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37602797/article/details/116654056
版权

图片

打造自己的jsp防御代码

一、需要准备JDK环境

编译.java文件成.class文件

https://www.oracle.com/technetwork/java/javase/downloads/index.html

图片

需要javac编译

图片

javac -target 1.4 -source 1.4  -classpath servlet-api.jar urlfilter.java

二、实际设置

设置一个全局的过滤器,通过web.xml添加filter过滤器

名称:Url中注入过滤器

功能:可以过滤,导向到错误页,防止代码泄漏

需要的设置:Web.Xml文件中需要进行如下设置

 <filter>  
    <filter-name>urlfilter</filter-name>  
    <filter-class>Safe3conn.urlfilter</filter-class>  
 </filter>  
 <filter-mapping>  
  <filter-name>urlfilter</filter-name> 
   <url-pattern>/*</url-pattern> 
 </filter-mapping> 

编译后的class文件要放在WEB-INF\classes\Safe3conn文件夹下,改变Web.xml文件后需要重启Tomcat服务器

package Safe3conn; 
import java.io.*; 
import javax.servlet.*; 
import javax.servlet.http.*; 
import java.util.*; 
import java.lang.String.*; 
import java.lang.*;

public class urlfilter extends HttpServlet implements Filter {

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) 

throws ServletException, IOException {

HttpServletRequest req = (HttpServletRequest)request; 
HttpServletResponse res = (HttpServletResponse)response;


String url1=(String)((HttpServletRequest)request).getQueryString(); //GET提交过滤(注:可自行添加POST和Cookie过滤)


if(url1==null||!sql_inj(url1)) 
{ 
chain.doFilter(request,response);

}
else{ 
res.sendRedirect(req.getContextPath()+"/err.jsp"); //设置转向的错误页面

} 
}

//过滤函数

public static boolean sql_inj(String str) 
{ 
String inj_str ="' and exec insert select delete update count * % chr mid master truncate char declare ; or - + ,"; 
String inj_stra[] = inj_str.split(" ");

for (int i=0 ; i < inj_stra.length ; i++ ) 
{ 
if (str.indexOf(inj_stra[i])>=0) 
{ 
return true; 
} 
} 
return false; 
}

//过滤结束 
public void init(FilterConfig config) 
throws ServletException {}

public void destroy() {} 
}

编译:javac urlfilter.java 出现错误

图片

主要是缺少:servlet-api.jar

图片

成功编译:

javac -target 1.4 -source 1.4  -classpath servlet-api.jar urlfilter.java

图片

还需要一个web.xm文件(一般web页面会有这个,只需要添加filter对应的地方)

<?xml version="1.0" encoding="ISO-8859-1"?> 
<web-app> 
<filter>  
<filter-name>sqlfilter</filter-name>  
<filter-class>Safe3conn.urlfilter</filter-class>  
</filter>  
<filter-mapping>  
<filter-name>sqlfilter</filter-name>  
<url-pattern>/*</url-pattern>  
</filter-mapping>  
</web-app>

最后需要把class文件放到WEB-INFO

图片

就是在class的添加Safe3conn/urlfilter.class

图片

web.xml的相关的关联urlfilter的这个类

图片

重新启动

图片

主要是过滤这些字段:

String inj_str ="’ and exec insert select delete update count * % chr mid master truncate char declare ; or - + ,";

图片

提交有含有上面过滤的参数就跳转err.jsp

图片

这个是sql的防御,XSS的防御相似。

三、总结

主要是java的编译,还有fileter的web.xml的添加。

过滤全局的函数编写。

公众号:

图片

thelostworld:

图片

个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns

个人简书:https://www.jianshu.com/u/bf0e38a8d400

thelostworld-公众号
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于python的反爬虫技术的研究源码数据库.docx
02-29
这些数据中蕴含着巨大的价值,对于企业来说,能够有效地挖掘并利用这些数据,就意味着能够在激烈的市场竞争中占据优势。然而,这也带来了一个新的问题——数据安全。网络爬虫作为一种高效的数据抓取工具,正被广泛...
防跨站伪造测试代码
03-31
针对这种情况,开发人员需要采取有效的防御措施,Spring框架为此提供了内置的支持。这篇描述提到的是一个关于防跨站伪造测试的代码集合,下面将详细介绍相关的知识点。 首先,理解CSRF攻击的基本原理是关键。当用户...
servlet获取jsp页面的值为null_Jsp挖掘(4)-打造自己的jsp防御代码
weixin_39929961的博客
12-16 131
打造自己的jsp防御代码 一、需要准备JDK环境编译.java文件成.class文件https://www.oracle.com/technetwork/java/javase/downloads/index.html需要javac编译 javac -target 1.4 -source 1.4 -classpath servlet-api.jar urlfilter.java 二、实际设置设置...
bug君你好啊之servlet页面读取jsp的url的值显示为null
墨浅
12-19 1216
在form表单提交URL中传递参数
servlet中获取jsp中的空值问题
追梦
11-23 1760
如果request.getparameter(“”)获取到了传过来的空值,则会是个空字符串。如果没有接受到这个值的话就会是null类型。
input框中的name和id的区别
weixin_42202257的博客
04-27 1119
可以说几乎每个做过Web开发的人都问过,到底元素的ID和Name有什么区别阿?为什么有了ID还要有Name呢?! 而同样我们也可以得到最classical的答案:ID就像是一个人的身份证号码,而Name就像是他的名字,ID显然是唯一的,而Name是可以重复的。 上周我也遇到了ID和Name的问题,在页面里输入了一个input type=“hidden”,只写了一个ID=‘SliceInfo’...
14天学会漏洞挖掘.pdf
01-02
【知识点详解】 1. **搜索引擎技巧与信息收集**: ...通过以上内容,学习者将逐步掌握漏洞挖掘的基础知识,包括信息收集、漏洞类型识别、手工测试方法和代码分析,为成为一名合格的安全研究员奠定坚实基础。
NepNep-Java部分1
最新发布
08-03
进入后台后,发现`mailbox.jsp`页面中存在FastJson的相关代码,这提示我们需要关注FastJson的潜在安全问题。在题目中,攻击者可以通过使用47版本的payload来触发RCE,因为这个版本存在一个已知的FastJson漏洞。一旦...
Tomcat容器攻防笔记之隐匿行踪 .pdf
09-05
文中提及的前几篇文章,如《Tomcat容器攻防笔记之Filter内存马》、《Tomcat容器攻防笔记之Servlet内存马》和《Tomcat容器攻防笔记之JSP金蝉脱壳》,可能分别探讨了其他类型的攻击手段和防御策略,为读者提供了更全面...
JSP中关于servlet中request.getParameter得到null的问题的几个可能
x-nn的博客
07-06 2517
本文针对的是jsp中form表单提交后servlet获取到null的情况 可能性一:jsp中需要输入的input标签中没设name属性值 正确例如: <input name="password" value="${user.password}" class="textinput" /> 因为表单提交后,如果想用servlet中request.Parameter()来获取值,那么配套的是input中的name的值而不是id的 value对于这有没有都是可以的。 可能性二:form中的actio
jsp页面el表达式null值处理
淮右布衣的博客
05-13 1673
// 值不为null时 <c:if test=" ${not empty item.postId }"> </c:if> // 值为null时 <c:if test=" ${empty item.postId }"> </c:if>
JSP跳转传参时参数为null的处理
北京Java青年
06-13 8103
以下为JSP页面:<a href="index.jsp?tid=<%=ntidSS %>&page_no=<%=nextPage%>">下一页  </a>一旦tid为空(null),点击“下一页”,url地址会变成:http://localhost:8080/xxx/index.jsp?tid=null&page_no=2;由于tid是作为JSP页面URL参数传值的,所以requ
解决Jsp获取本页面表单提交值为null的方法
哈哈哈
05-28 6293
今天博主遇到一个小问题,在本页面进行form表单提交时,获取的参数值为null。 抛出问题 ​ 不多说,看代码: <form action="${pageContext.request.contextPath}/test/money01.jsp" method="post"> 应付款:<input type="text" name="pay"> <br> 实际付款:<input type="text" name="actuallyPay"&
Jive源代码解析:forum.jsp详解
"这篇资源是关于Jive源代码分析的文章,特别关注于forum.jsp这个页面。作者通过逐步解析代码,帮助读者理解如何显示指定论坛的主题,实现分页处理,并介绍了两种调用forum.jsp的方式。文章将forum.jsp的功能分为六个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值