esapl入门及预防xss,sql注入漏洞

最新推荐文章于 2024-07-05 19:37:58 发布
最新推荐文章于 2024-07-05 19:37:58 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: 安全 文章标签: 安全漏洞 esapl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42723240/article/details/97753376
版权

1.esapl解決过滤特殊字符,以及sql盲注问题(现阶段已知,不足之处请多指教)

针对web+spring+hibernate 老项目:
有maven仓库的可以参考这个:https://blog.csdn.net/CHS007chs/article/details/86645450
配置文件:(放在工程目录下,放在本地虽然可以运行,但不可以部署项目,识别不到说明位置不对,重新放配置文件位置)
ESAPI.properties;
validation.properties;
例如:
https://mp.csdn.net).
个人方案:当时尝试把esapl文件夹去掉,直接找配置文件就可以找到!
.jar包放到lib下:
esapi-2.1.0.jar
esapi.tld(本项目放在了lib外面);
在这里插入图片描述

使用:
(1.)针对xss漏洞(过滤特殊字符原理)
//对用户输入“input”进行HTML编码,防止XSS
input = ESAPI.encoder().encodeForHTML(input);
//根据自己不同的需要可以选用以下方法
//input = ESAPI.encoder().encodeForHTMLAttribute(input);
//input = ESAPI.encoder().encodeForJavaScript(input);
//input = ESAPI.encoder().encodeForCSS(input);
//input = ESAPI.encoder().encodeForURL(input);



(2.)针对sql注入漏洞(除了支持mysql还支持oracle)

//解决注入问题(mysql的没有试过)

String input1="用户输入1";
String input2="用户输入2";

mysql:
input1 = ESAPI.encoder().encodeForSQL(new MySQLCodec(MySQLCodec.Mode.STANDARD),input1);
input2 = ESAPI.encoder().encodeForSQL(new MySQLCodec(MySQLCodec.Mode.STANDARD),input2);

Oracle:
Codec ORACLE_CODEC = new OracleCodec();
input1 =  ESAPI.encoder().encodeForSQL(ORACLE_CODEC,input1);

String sqlStr="select name from tableA where id="+input1 +"and date_created ='" + input2+"'"
XFTL
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB安全之XSS漏洞SQL注入漏洞介绍及解决方案
m0_74131821的博客
04-18 1782
这篇文章把XSS跨站攻击和SQL注入的相关知识整理了下,比较适合初学者观看。
预防XSS攻击SQL注入XssFilter
05-19
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin...
ESAPI使用方法
11-16
ESAPI入门使用例子,防XSS攻击,防SQL注入,过滤等等。
基于ESAPI的防sql注入jar包及使用示例.rar
10-17
基于ESAPI的防sql注入jar包及使用示例 esapi-2.1.0.1.jar包 两个properties文件 一个java工具类 一个说明文档
ESAPI自定义配置文件路径
最新发布
青春不打烊的博客
07-05 1258
文章目录 前言一、pom依赖 <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <version>2.2.3.0</version> <!-- 如果项目中没有引入其他日志框架,可以不排除 -->
ESAPI处理sql注入xss攻击
HI,我是小瑞!
11-10 1万+
使用ESAPI防止XSS的做法: String safe = ESAPI.encoder().encodeForHTML( request.getParameter( "input" ) ); 对用户输入“input”进行HTML编码,防止XSS。   使用ESAPI防止ORACLE数据库SQL注入的做法:   String sqlStr=“select name f
ESAPI——预防XSS攻击工具使用简介
旺仔牛奶的博客
11-07 1万+
XSS:跨站脚本攻击。原理是攻击者向有XSS漏洞的网站中输入恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 最常见的最经典的XSS bug语句:alert(/XSS/) 比如在存在XSS bug的网站的输入框输入前面的语句,当访问网页时会弹出对话框。 .............
【ESAPI】WEB安全ESAPI使用
后端研发工程师Marion的博客
03-30 4392
ESAPI可以使用构建工具如Maven和Gradle进行安装,也可以手动下载jar包后导入到项目中。ESAPI的配置文件需要在classpath中或指定的位置中定义路径。同时,如果您需要记录日志,您还需要定义日志记录器和日志格式。ESAPI提供了多种输入验证API,提供对XSS攻击SQL注入攻击等的防护。这将验证输入是否有效。它通过检查输入的长度和字符集来防止XSS攻击SQL注入攻击。ESAPI提供了多种加密API,可以用于密码和数据的加密。
Web 安全头号大敌 XSS 漏洞解决最佳实践
码上修行
02-21 1255
引言XSS 是目前最普遍的 Web 应用安全漏洞,它带来的危害是巨大的,是 Web 安全的头号大敌。关键词:跨站脚本(JavaScript、Java、 VBScript、ActiveX、 ...
CSZ CMS 1.2.X sql注入漏洞
09-07
# (CVE-2019-13086)CSZ CMS 1.2.Xsql注入漏洞 ## 一、漏洞简介 CSZ CMS是一套基于PHP的开源内容管理系统(CMS)。 CSZ CMS 1.2.X版本(2019-06-20之前)中的core/MY_Security.php文件存在SQL注入漏洞。该漏洞...
自己动手编写SQL注入漏洞扫描工具
03-25
本篇将探讨如何自己动手编写一个SQL注入漏洞扫描工具,通过分析提供的程序代码,我们可以了解基本的检测原理和技术。 首先,我们需要理解SQL注入的基本概念。当用户提交的数据被直接拼接到SQL查询中,而没有进行...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
XSS & SQL注入
10-30
XSS(Cross-Site Scripting,跨站脚本)和 SQL 注入是两种常见的 Web 安全漏洞。下面将详细介绍 XSS 和 SQL 注入的概念、原理和应用。 什么是 XSSXSS,或者称为 CSS,代表着跨站脚本。基本上,XSS 意味着你可以...
使用java代码方式解决XSS、Host Head漏洞问题
gmj53的专栏
08-04 1384
一、使用java代码方式解决XSS漏洞问题 1 ESAPI方式 1.1 引入jar包 compile('org.owasp.esapi:esapi:2.2.3.1') { exclude group: 'log4j', module: 'log4j' exclude group: 'org.slf4j', module: 'slf4j-simple' } 1.2 增加配置文件 1.2.1 ESAPI.properties配置文件内容 # 是否要打印配置属性,默认为true ESAPI.p
OWASP ESAPI 预防XSS跨站脚本攻击
我是混IT圈的
12-11 1169
2、引入esapi的配置文件。
JAVAWEB项目解决xss漏洞攻击
lllkkk0126的博客
05-22 5321
由于公司安全部门扫描公司上线网站发现了跨脚本传输漏洞,因此派我修复,特把修复心得记录下来 首先,什么是xss?xss攻击全称跨站脚本攻击,就比如<IMGSRC="javascript:alert('XSS');">;可以在参数中加入js代码。 解决方案: 1、采用esapi通过入参校验过滤,这种方案是最安全的,也是最麻烦的。 2、采用过滤器的方法在获取参数的时候对入参进...
富文本编辑器防xss攻击
热门推荐
changhuzhao的专栏
05-18 1万+
富文本编辑器防xss攻击在平时的开发中,有时需要引入富文本编辑器,由用户来输入信息并保存入数据库。而这也给项目留下了潜在的隐患,如果不在开发时就做好防范,则很容易受到相应的攻击。 对于常见的web安全问题,可以参考 web安全(入门篇)现在针对富文本编辑器如何防止xss攻击,给出几点建议,也供自己以后查找: 推荐使用UEditor 使用ESAPI
SpringBoot +esapi 实现防止xss攻击
weixin_39811685的博客
11-25 3961
SpringBoot +esapi 实现防止xss攻击 maven 集成: <!-- 预防XSS攻击工具 --> <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <version>2.2.0.0</version>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值