mybatis SQL注入攻击 以及XSS攻击csrf攻击

最新推荐文章于 2024-03-05 11:54:55 发布
最新推荐文章于 2024-03-05 11:54:55 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_31396769/article/details/103742338
版权

mybatis SQL注入攻击 以及XSS攻击csrf攻击

以上攻击形式跟原理不多做介绍,此处记录处理方案

SQL注入

问题:系统在经过安全扫描是,被告知存在SQL注入的封信,mybatis的预编译是不存在注入风险的,但是在排序字段的处理上,没法使用预编译,同时,在个别字段,存在使用$取值等不规范的操作,以上操作均会出现注入的风险
注入代码实例:
字段添加如下信息,虽然报错,但是会暴露出数据库用户跟数据库IP的信息。

extractvalue(1,concat(0x7e, (user()),0x7e))

解决方式:
对于排序字段,采用抢控,即排序字段在set方法里边,一旦检测出,存在SQL关键字,就将整个排序字段值销毁掉,特别的,干掉有“()”的字符串。
对于正常字段,根据正则表达式过滤,一旦字段值存在异常,则抛出异常,正则参考如下内容(次正则还需校验)

=====================正则表达式=============================
\b(and|or)\b.{
   1,6}?(=|>|<|\bin\b|\blike\b)| 
\/\
最低0.47元/天 解锁文章
木子虎川
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
引导程序:Spring Boot整合Mybatis,Druid,PageHelper,Swagger,AOP,过滤器,拦截器,thymeleaf基础入门演示
02-05
开机Spring Boot整合MyBatis数据源Druid监控PageHelper分页Hibernate验证器集成杰克逊日期时间格式化swagger2 api管理自定义过滤器,避免XSS攻击SQL注入攻击自定义AOP配合redis解决重复提交问题自定义拦截器,拦截...
Mybatis结果集拦截器反射取出Map存储的值进行XSS过滤
baidu_41267789的博客
11-04 956
Interceptor 拦截器 package xxxxx.intercept; import cn.com.thinvent.zfw.util.XssUtil; import org.apache.ibatis.executor.resultset.ResultSetHandler; import org.apache.ibatis.plugin.*; import org.springframework.util.CollectionUtils; import java.lang.reflect
XSS漏洞介绍(笔记)
weixin_46062722的博客
12-21 449
什么是XSS? XSS(Cross Site Scripting)跨站脚本,较合适的方式应该叫做跨站脚本攻击,诞生于1996年,人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 XSS分类: 反射(非持久):攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发漏洞。 存储(持久):payload被存储到数据库内,每次只要访问就可以被触发
安全漏洞: XSS跨站脚本攻击Sql注入攻击
阿强的博客
04-27 2375
一 、 XSS介绍 XSS是跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSS。XSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。 二、XSS攻击目的及原理 由于对XSS攻击...
xss mybatis sql注入漏洞修改小技巧
最新发布
hwssz的专栏
03-05 547
mybatis中使用#号占位符会根据参数值类增加引号,而$占位符则是直接显示原值,所以存在SQL注入的可能。如果改xml就能修复这个问题,工作量少很多,第2条比较简单,第1条复杂点,试了多次终于可以了,下面是方案,使用eclipse的正则替换,半小时就把这个问题解决了。查看发过来的文档,问题SQL集中在几种SQL,ids参数值'aa','bb' name参数值 aa。等保现在是系统上线的基本要求了,所以 工作中mybatis推荐使用#占位符,避免SQL注入
mybatis 拦截器
YYniannian的博客
07-16 1058
拦截器可在mybatis进行sql底层处理的时候执行额外的逻辑,最常见的就是分页逻辑、对结果集进行处理过滤敏感信息等。
Java后端XSS攻击防护和防止SQL注入
Logger
01-07 2767
最近在重构老项目的部分功能,发现项目中没有对XSS攻击防护的过滤,做了XSS过滤器,顺带整理一下内容。 SQL注入 一个SQL注入例子 我们举一个简单的sql注入例子,来解释其是如何进行注入的。假设现有一个登录功能,提交时需要验证用户名和密码,后台的验证是通过查库中的USER表完成的: String sql = "select * from USER where username= ' "+use...
常见网络攻击及防御方法总结(XSS、SQL注入CSRF攻击
xiaohui的博客
04-05 3791
  从互联网诞生之初起,无时无刻不存在网络攻击,其中XSS攻击SQL注入攻击是网站应用攻击的最主要的两种手段,全球大约70%的网站应用攻击都来自XSS攻击SQL注入攻击。此外,常用的网站应用攻击还包括CSRF、Session劫持等。 1、 XSS攻击   XSS攻击即跨站点脚本攻击(Cross Site Script),指的是攻击者通过篡改网页,注入恶意的HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。   常见的XSS攻击有两种,一种是反射攻击者诱使用户点击一个嵌入恶
202307-MyBatis面试题(2023最新版)思维导图.zip
06-16
1. Java基础知识: - 语法 ...- XSS、CSRFSQL注入等常见安全漏洞 - Spring Security安全框架 以上是Java后端必会的所有技能,掌握这些技能可以帮助开发人员在Java后端开发领域更加得心应手。
Web应用常见漏洞修复方案
12-01
(2) 使用 MyBatis 技术,通过 Mapper.xml 文件定义 SQL 语句,使用“#{xxx}”这样的格式来防止 SQL 注入攻击。 (3) 使用特殊字符过滤程序,检测用户输入的数据是否包含恶意的 SQL 代码,如果包含,则阻止该请求。 ...
SpringBoot集成Mybatis实现简单的SQL注入攻击)案例
12-14
一、项目演示 (1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT NULL, "name" varchar(255) COLLATE "pg_catalog"."default", "password" varchar(255) COLLATE "pg_catalog"."default" ) ; DROP TABLE IF E
Spring4.2.9+mybatis3.4.4集成(整合Jackson、防御XSS版)支持JDK1.6、Tomcat6
05-12
如果您基于Java6(JDK1.6)开发项目,这应该是目前最新的版本了。
sql注入xss攻击常见形式和解决方法
01-01
sql注入xss攻击常见形式和解决方法。doc
预防XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新的“缓冲区溢出攻击“,而JavaScript是新的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
java持久层框架mybatis防止sql注入的方法
09-01
下面小编就为大家带来一篇java持久层框架mybatis防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
202312-Redis面试题(2023最新版)思维导图.zip
06-16
1. Java基础知识: - 语法 ...- XSS、CSRFSQL注入等常见安全漏洞 - Spring Security安全框架 以上是Java后端必会的所有技能,掌握这些技能可以帮助开发人员在Java后端开发领域更加得心应手。
202309-MySQL数据库面试题(2023最新版)思维导图.zip
06-16
1. Java基础知识: - 语法 ...- XSS、CSRFSQL注入等常见安全漏洞 - Spring Security安全框架 以上是Java后端必会的所有技能,掌握这些技能可以帮助开发人员在Java后端开发领域更加得心应手。
Mybatis+spring知识点
m0_64899073的博客
02-22 470
Mybatis是一个半ORM(对象关系映射)框架,它内部封装了JDBC,开发时只需要关注SQL语句本身,不需要花费精力去处理加载驱动、创建连接、创建statement等繁杂的过程 程序员直接编写原生态sql,可以严格控制sql执行性能,灵活度高。 (2)MyBatis 可以使用 XML 或注解来配置和映射原生信息, 将 POJO映射成数据库中的记录, 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。 (3)通过xml 文件或注解的方式将要执行的各种 statement 配置起来, 并通过ja
springboot项目防止XSS攻击sql注入
yy1209357299的博客
02-07 3557
springboot项目防止XSS攻击sql注入
自定义springcloud防止XSS,CSRF,SQL攻击,详细代码
06-12
自定义防止XSS攻击: 可以使用过滤器Filter来对请求进行过滤,过滤掉恶意脚本。以下是一个简单的过滤器...以上是一些自定义防止XSS、CSRFSQL注入攻击的常见方法,具体的代码实现需要参考具体的业务场景和技术框架。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值