shiro安全框架扩展教程--如何防止可执行文件的入侵攻击

最新推荐文章于 2024-05-16 09:40:03 发布
最新推荐文章于 2024-05-16 09:40:03 发布
阅读量8.4k 收藏 3
点赞数
分类专栏: shiro spring security3 spring java java web 文章标签: shiro 安全 开源 框架 javaee
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shadowsick/article/details/41218617
版权
本文介绍了一种使用Shiro框架来防止可执行文件上传后被利用进行入侵攻击的方法。通过设置过滤器,当检测到黑名单中的文件类型时,记录相关信息,从而为系统增加一道防线。
摘要由CSDN通过智能技术生成

        前面的教程有一章是讲解如何突破上传的,当被人通过上传功能突破的防线那就杯具了,有点hack知识的人都知道,很多攻击都是优先寻找上传的功能,因为能突破

就会剩下很多的功夫,比如hack上传了一个asp,php或者jsp文件,然后通过抓包路径获取了文件存放地址,然后直接请求就能通过这个可执行的文件获取到数据库的信息,

或者是遍历目录下载文件,寻找文件中的其他漏洞以获得更高的权限,下面我就演示下简单的防范手段,就算被突破了上传也会有下一堵墙在一定程度上防止执行脚本


我主要是使用shiro写了一个filter过滤需要请求信息,如遇到黑名单则记录信息,看下面贴的代码


package com.silvery.security.shiro.filter;

import java.text.SimpleDateFormat;
import java.util.Date;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.shiro.web.filter.authz.AuthorizationFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import com.silvery.utils.PatternUtils;
import com.silvery.utils.WebUtils;

/**
 * 
 * 黑名单可执行程序请求过滤器
 * 
 * @author shadow
 * 
 */
public class SimpleExecutiveFilter extends AuthorizationFilter {

	protected static final String[] blackUrlPathPattern =
最低0.47元/天 解锁文章
小丑哥_V5
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
Spring Security中防护CSRF功能
...
04-13 839
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF的原理 下图简单阐述了CSRF攻击的思想: 从上图可
csrf漏洞表述/shiro漏洞分析-手把手教渗透笔记
最新发布
程序员三九的博客
05-16 435
0x00 漏洞信息简介 ! Board(简称 !)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来,!
shiro安全框架扩展教程--如何防止可执行文件入侵攻击【转】
chengyunyi的专栏
01-12 750
前面的教程有一章是讲解如何突破上传的,当被人通过上传功能突破的防线那就杯具了,有点hack知识的人都知道,很多攻击都是优先寻找上传的功能,因为能突破 就会剩下很多的功夫,比如hack上传了一个asp,php或者jsp文件,然后通过抓包路径获取了文件存放地址,然后直接请求就能通过这个可执行的文件获取到数据库的信息, 或者是遍历目录下载文件,寻找文件中的其他漏洞以获得更高的权限,下面我就演示下简单
CSRF、XSS、SQL注入、DDOS攻击和预防
weixin_33711641的博客
04-26 250
看到比较好的安全测试文章,记录一下 1、浅谈前后端分离架构下如何防御CSRF攻击 runtester.com/detail/blog… 2、浅谈XSS攻击与防御 runtester.com/detail/blog… 3、浅谈SQL注入和防御 runtester.com/detail/blog… 4、浅谈DDOS攻击和预防 runtester.com/detail/blog… 转载于:https:...
Shiro权限管理】1.Shiro简介
程序猿之洞
10-14 2101
一、简介 在Web系统中我们经常要涉及到权限问题,例如不同角色的人登录系统,他操作的功能、按钮、菜单是各不相同的,这就是所谓的权限。 Apache Shiro是Java的一个安全(权限)框架Shiro可以完成认证、授权、加密、会话管理、Web集成、缓存等功能。适用于JavaSE和JavaEE。 关于安全框架,还有一个Spring Security框架,不过目前使用率比较高的还是Apac
Apache shiro 漏洞总结
星落的博客
08-01 4593
Apache shiro 漏洞总结 Apache shiro是一个强大灵活的开源安全框架,可以完全处理身份验证、授权、密码和会话管理。
【渗透测试】Apache Shiro系列漏洞
weixin_53972936的博客
11-01 3638
Apache Shiro框架是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
Shiro框架漏洞分析与复现
未完成的歌~的博客
05-15 4044
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
shiro反序列化漏洞
m0_63645854的博客
06-13 610
本文主要介绍了shiro反序列化漏洞的原理,影响版本以及防御方式
shiro组件漏洞分析(一)
why811的博客
09-13 188
官方issues:https://issues.apache.org/jira/browse/SHIRO-550Apache Shiro框架提供了记住我(RememberMe)的功能功能表现为关闭浏览器再次访问时无需再登录即可访问。shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操作。
shiro中实现防御CSRF攻击的token解决方案
qq_27555691的博客
09-06 1402
首先,代码核心逻辑来自https://blog.csdn.net/qq_26848943/article/details/114023239#comments_18211700 其次,我对其进行了修改 1.shiroConfig类中加入防御代码如下 2. filters包下新建CsrfFilter类 说明: 1.csrfDomains在配置中配置,可参考链接的原文 2.在session中设csrfToken来作为token防御csrf攻击的主要防御手段, 3.paths集合是...
Shiro会话管理
热门推荐
Reid的专栏
07-15 1万+
转自:http://www.zblog.us/java/shiro_session_manager.html shiro提供了一个完整的企业级会话管理解决方案,不再依赖web容器。可以在web和非web环境下使用。 shiro的session特性 基于POJO/J2SE:shiro中session相关的类都是基于接口实现的简单的java对象(POJO),兼容所有jav
Web应用安全————Shiro 解决会话固定漏洞
Morty的技术乐园
09-21 2774
引言 承接上一篇《Web应用安全————账号冻结与 Session 实时失效》关于 session 的学习,本篇博客聚焦如何通过 shiro 解决会话固定导致的漏洞问题。 首先,没怎么接触过应用安全方面的小伙伴可能会发起疑问 - 什么是会话固定? 简单来说,系统在登录前和登录后使用同一个 session id,就是会话固定,默认的session 管理机制都是会话固定的。会话固定可能会造成“会...
CVE-2020-13933: Apache Shiro 权限绕过漏洞分析
爱国小白帽
09-22 5780
360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-092201 报告来源:360CERT 报告作者:360CERT 更新日期:2020-09-22 0x01 漏洞简述 2020年08月18日, 360CERT监测发现 Apache Shiro 发布了 Apahce Shiro 权限绕过 的风险通告,该漏洞编号为 CVE-2020-13933,漏洞等级:高危,漏洞评分:8.0。 Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕
Yii框架数据传输的安全性问题(例如跨站脚本攻击
一花一世界
06-28 375
我们知道可以通过renderPartial将数据传递给前端进行显示,但有时候难免传递的数据是获取用户的数据,要知道作为程序员是永远都不要相信用户输入的。 比如下面的代码就会出现问题 public function actionSay(){ //第一步,创建一个数组 $arr = array(); //第二步,将数据放入数组中 ...
说说什么是 XSS
weixin_33994444的博客
04-06 389
XSS 指的是:黑客通过 “HTML 注入 ” 篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击 。 举个例子,我们把 URL 中的参数,直接写入页面: window.onload=function () { var args = getQueryStringArgs(); var param = args["param"]; document.write(param...
Apache Shiro 安全框架入门教程
"Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实施。" Apache Shiro是Java开发中的一个安全管理框架,它旨在简化应用程序的安全实现,适用于各种...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值