java正则表达式反向字符集避坑

已于 2023-06-09 19:23:53 修改
阅读量185 收藏
点赞数
分类专栏: java 文章标签: 正则表达式
于 2023-03-04 12:13:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuxiaohua/article/details/129332741
版权

背景

系统导出功能会将自己的信息导出到excel中,为了防止CSV注入攻击,在录入这些字段时需要对内容做校验。
CSV注入攻击主要是通过“+、-、@、=”构造一些特殊内容,这个内容导出到excel中,当有人打开这种带攻击的excel时,就可以执行任意命令,详细的攻击方法,大家可以搜索“CSV注入攻击”。

问题

本系统防护方案也很简单,就是对接口入参做校验,如果带这些特殊字符,则报错不允许提交到服务端。

public ResponseEntity updateUserInfo(@Validated(User.Group4UpdateUserInfo.class) 
               @RequestBody User user) {
       ... ...
}
    
public class User {

    @Pattern(regexp = "[^=+-@]*", message = "nickname cannot contain special character",
            groups = Group4UpdateUserInfo.class)
    private String nickname;
    ... ...
    public interface Group4UpdateUserInfo {}
}

校验加上去后测试,发现数字也会被拦截。

多次试验后发现,'-'在反向字符集[]中带有特殊含义,它表示字符范围,比如regexp = “[^=+-@]"代表非 ‘=’及‘+’到‘@’之间的符号
如果要表示不带“+、-、@、=”的字符串时,需要对‘-’做转义,例如**regexp = "[^=+\\-@]”**

shuxiaohua
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA解决CSV注入漏洞的代码
搬砖人生的博客
10-29 3484
JAVA处理写入CSV的命令,函数等。处理特殊字符(“+、-、@、=”)以及逗号引起的格式问题
java基础练习——反转字符串
JiaYou_PPZ的博客
04-23 667
需要:反转字符串,例如“我来自中国”反转输出为“国中自来我”。 方式一: 反转字符串主要通过字符重组的方式。将字符串string倒序提取出字符char,再使用+=,将字符串重组为新的倒转过后的字符串string。 详细代码段如下: package com.itheima.test7; import java.util.Scanner; public class ReverseString { public static void main(String[] args) { ...
正则表达式字符集整理
笑脸皮猴子
12-12 2150
正则表达式字符集 分类 字符 描述 转义符 \ 将下一个字符标记为一个特殊字符、或一个原义字符、或一个向后引用、或一个八进制转义符。例如,“n”匹配字符“n”。“\n”匹配一个换行符。串行“\\”匹配“\”而“\(”则匹配“(”。 一般字符 \w 匹配包括下划线的任何单词字符。等价于“[A-Za-z0-9_]”。 \W 匹配任何非单
csv注入java怎么解决_CSV Injection(CSV注入)
weixin_34364239的博客
02-27 1232
简介许多web应用程序允许用户将发票模板或用户设置等内容下载到CSV文件中。许多用户选择在Excel、Libre Office或open Office中打开CSV文件。当web应用程序无法正确验证CSV文件的内容时,可能会导致执行一个或多个单元格的内容。漏洞利用最基本的利用方式是动态数据交换# pop a calcDDE ("cmd";"/C calc";"!A0")A0@SUM(1+1)*cmd...
跟着开源项目学java3-从导出excel防止csv注入的提交看注入类的安全问题的解决思路
最新发布
qq_39007838的博客
12-26 1339
csv注入 若依 common-utils
java正则表达式的简单运用
08-27
Java正则表达式Java语言中用于处理字符串的强大工具,它允许程序员进行复杂的文本匹配、查找、替换和提取等操作。在Java中,正则表达式通常与`java.util.regex`包中的类一起使用,如`Pattern`和`Matcher`。 1. **...
java Xeger 根据正则表达式生成满足的随机数据
09-12
Java中的Xeger是一个非常有用的工具,它允许开发者根据指定的正则表达式生成随机的数据。Xeger是基于Java的org.apache.commons.text.RandomStringGenerator类和org.apache.commons.lang3.RandomStringUtils库的一个...
java正则表达式提取数字的方法实例
09-04
在上述代码中,`[^0-9]` 是一个反向字符集,表示匹配任何非数字字符。`replaceAll` 方法将所有匹配到的非数字字符替换为指定的字符串(这里是空字符串),从而提取出数字。在这个例子中,"哈哈,13888889999" 被转换...
详解Java中的scala正则表达式
08-25
- `[^...]`: 反向字符集,匹配未包含的字符。 - `\A`: 匹配输入字符串的开始(无多行支持)。 - `\z`: 匹配字符串的结尾(不受多行选项影响)。 - `\Z`: 匹配字符串的结尾或行尾(不受多行选项影响)。 - `*`, `+`, ...
Java正则表达式使用
07-06
Java中的正则表达式是处理和匹配文本模式的强大工具,尤其在进行数据验证、文本查找替换等场景下非常实用。正则表达式是由特定字符组成的字符串,定义了一种模式,用于在文本中寻找符合该模式的子串。 1. **基础...
java_cvs_解析
07-31
解析cvs
csv注入java怎么解决_浅谈CSV注入漏洞
weixin_29775447的博客
02-27 1948
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。背景某天在逛expdb时候看到了CSV Injection的exp,在渗透测试的过程中也偶尔会遇到类似的情况,这一漏洞很早之前就出现过,但是很多人没有意识到漏洞的危害性,于是抱着学习的心态进行了一波漏洞复现和学习。漏洞介绍CSV公式注入(CSV Injection)是一种会造成巨大影...
csv注入java怎么解决_csv注入利用和绕过总结
weixin_28802509的博客
02-27 2144
csv注入csv注入是一种将包含恶意命令的excel公式插入到可以导出csv或xls等格式的文本中,当在excel中打开csv文件时,文件会转换为excel格式并提供excel公式的执行功能,会造成命令执行问题。漏洞原理漏洞原理就是excel的一个特性,当单元格中内容以=-+@等符号开头时,excel将会将其当成一个公式处理。所以当我们输入=1+1时,excel会自动将其计算那么利用这个办法,把等...
csv注入java怎么解决_CSV文件注入漏洞简析
weixin_39907596的博客
02-27 2056
“对于网络安全来说,一切的外部输入均是不可信的”。但是CSV文件注入漏洞确时常被疏忽,究其原因,可能是因为我们脑海里的第一印象是把CSV文件当作了普通的文本文件,未能引起警惕。一、漏洞定义攻击者通过在CSV文件中构造恶意的命令或函数,使得正常用户在使用Excel打开这个CSV文件后恶意的命令或函数被执行,从而造成攻击行为。二、漏洞产生的原因1、CSV文件中的几个特殊符号“+、-、@、=”尝试在CS...
【笔记】很杂---mysql/jquery/linux/java/CSV防注入
M_Kalor
09-26 418
好记性不如烂笔头 1.group_concat 功能:将group by产生的同一个分组中的值连接起来,返回一个字符串结果。 语法:group_concat( [distinct] 要连接的字段 [order by 排序字段 asc/desc ] [separator '分隔符'] ) 说明:通过使用distinct可以排除重复值;如果希望对结果中的值进行排序,可以使用o...
JS高级(四)正则表达式的基本使用
qq_43182390的博客
02-26 513
JS高级(四) 一、正则表达式概述 1、概念 正则表达式( Regular Expression )是用于匹配字符串中字符组合的模式,在数据类型中是属于对象 2、作用 正则表达式通常用来校验、查找、替换指定规则的字符文本 验证表单,如:只能输入英文、字母、数字和下划线 过滤页面内容中的敏感词汇,或者对指定字符组合进行替换 从字符串中提取我们想要的特定部分 3、特点 灵活性、逻辑性和功能性 (强大) 简单高效 可读性稍差,不便于记忆(一般复制相关的正则表达式,修改后即可使用) 二、正则表达
CSV注入
good good study
04-25 4966
一.概述 现在很多应用提供了导出电子表格的功能(不限于 Web 应用),早在 2014 年 8月 29 日国外 James Kettle 便发表了《Comma Separated Vulnerabilities》文章来讲述导出表格的功能可能会导致注入命令的风险,因为导出的表格数据有很多是来自于用户控制的,如:投票应用、邮箱导出。攻击方式类似于 XSS :所有的输入都是不可信的。 我们知道在 Excel 中是可以运行计算公式的:=1+5,它会将以 = 开头的单元格内容解释成公式并运行,单纯的运行...
csv注入java怎么解决_CSV 注入实战
weixin_34910679的博客
02-27 1086
oxo1 前言之前看到过 CSV 注入的文章,具体想了解的请搜索学习,这里不多作介绍。今天刚好碰到了导出功能,就随手测试一波,没想到还真的存在 CSV 注入漏洞。oxo2 经过1、测试漏洞看到有导出功能,就新建一个用户,随手插入 Payload导出 CSV 文件查看 CSV 文件,发现结果等于 2 ,说明存在漏洞。2、利用漏洞这里反弹 shell就在本地演示好了. 利用 powershell 来进...
csv注入初探以及利用
Cwh的个人博客
02-28 3380
简介 之前进行渗透的时候经常会碰见csv,excel导入的功能。也思考过潜在安全隐患,今天刚好看到fb里面的一篇文章,fb上的介绍并不详细,对于其中的利用方式很感兴趣,基于此进行了一番学习。 fb链接 https://www.freebuf.com/vuls/195656.html 漏洞介绍 CSV公式注入(CSV Injection)是一种会造成巨大影响的攻击向量。攻击包含向恶意的EXCEL公...
"JAVA正则表达式入门到进阶及历史演变
"Java 正则表达式从入门到进阶"是一本关于JAVA正则表达式的学习指南。如果你对正则表达式知道的很少,或者说用的不是很多,下载这本书你决不后悔。本书由宋仲春撰写,他是一位JAVA开发专家,对正则表达式有深入的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值