java非法字符检测_Java Web 一些特殊字符的过滤(appscan检查的安全问题)

最新推荐文章于 2023-06-15 15:30:13 发布
最新推荐文章于 2023-06-15 15:30:13 发布
阅读量527 收藏
点赞数
文章标签: java非法字符检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39606137/article/details/114310339
版权

适用于出现以下问题:

1、SQL盲注

2、存储的跨站点脚本编制 或 跨站点脚本编制

import java.io.IOException;

import java.util.Enumeration;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

public class AntiSqlInjectionfilter implements Filter {

public void destroy() {

// TODO Auto-generated method stub

}

public void init(FilterConfig arg0) throws ServletException {

// TODO Auto-generated method stub

}

public void doFilter(ServletRequest args0, ServletResponse args1,

FilterChain chain) throws IOException, ServletException {

HttpServletRequest req=(HttpServletRequest)args0;

HttpServletResponse res=(HttpServletResponse)args1;

//获得所有请求参数名

Enumeration params = req.getParameterNames();

String sql = "";

while (params.hasMoreElements()) {

//得到参数名

String name = params.nextElement().toString();

//System.out.println("name===========================" + name + "--");

//得到参数对应值

String[] value = req.getParameterValues(name);

for (int i = 0; i < value.length; i++) {

sql = sql + value[i];

}

}

//System.out.println("============================SQL"+sql);

//有sql关键字,跳转到error.html

if (sqlValidate(sql)) {

throw new IOException("您发送请求中的参数中含有非法字符:"+sql);

//String ip = req.getRemoteAddr();

} else {

chain.doFilter(args0,args1);

}

}

//效验

protected static boolean sqlValidate(String str) {

str = str.toLowerCase();//统一转为小写

String badStr = "'|select|update|and|or|delete|insert|truncate|char|into"

+ "|substr|declare|exec|master|drop|execute|"

+ "union|;|--|+|,|like|//|/|%|#|*|$|@|\"|http|cr|lf||(|)";//过滤掉的sql关键字,可以手动添加

String[] badStrs = badStr.split("\\|");

for (int i = 0; i < badStrs.length; i++) {

if (str.indexOf(badStrs[i]) >= 0) {

return true;

}

}

return false;

}

}

weixin_39606137
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java语句判断非法字符
GMX_LCC的博客
07-12 1193
public static void main(String[] args) { // TODO Auto-generated method stub int []arr1=new int[0]; int a1=0; int a2=0; int a3=0; int a4=0; int b=0; System.out.println("请输入10个数:"); while(b<10){ b++; int []arr2=new in.
java非法字符验证正则表达式_非法字符的正则表达式
weixin_33066321的博客
02-24 748
public围幸业很例站闪以近着好务多如宽动为近着好 final static String SEARCHKEYREGEX = "[~!/@#$%^&*()\\-_=+\\|[{}];:\'\",/?]+"浏刚学互久维数曾总屏果以。公实式带近览开会。后护一相结蔽为我最司现幻的近览开会。后护一相结蔽为我最司现幻的近览开会。后护一相结蔽为我最司现幻的近览开会。后护一相结蔽为我最司现幻的近览开会...
Java 校验字符串中是否含有非法字符
qq_39822451的博客
11-30 2922
// 校验字符串中是否含有非法字符 public static String legalStringCheck(String content) { String illegal = "`-~_!#%^&*=+\\|{};:'\",<>/?○"; char isLegalChar = 't'; StringBuilder stringBuilder = new StringBuilder(""); //L1: ...
java验证文件名是否存在除汉字、大小写字母、数字以外的非法字符
06-15 751
上直接使用正则表达式。让我们来实现一个只接受字母数字和点字符的模式,其长度不超过255。
java 非法字符判断_非法字符校验(代码详解)
weixin_36240211的博客
02-12 3750
//非法字符校验方法function isffzf(input,name){if(input!=""){//input为输入框的值var blacklist="~!@#$%^&*()_+|`-=\{}[]:\";\'<>/";//定义非法字符字符串for(var i=0;ivar zf= input.charAt(i);if(blacklist.indexOf(zf)>...
解决 java: 非法字符: ‘\ufeff‘
liuruiaaa的博客
04-10 8069
java: 非法字符: '\ufeff' 解决方法(比如 Unicode BOM (Byte Order Mark))
Web安全扫描工具:appscan安装和使用
08-19
Web安全扫描工具AppScan是IBM Rational推出的一款强大的应用安全扫描软件,主要针对Web应用程序的安全检测AppScan家族包含了多种版本,如Source Edition用于源代码安全扫描,Standard Edition用于Web应用的快速...
安全测试漏扫工具_HCL AppScan最新版本_10.0.8(28186)_2022年8月_appscan28150下载
08-05
Web安全测试是AppScan的核心功能之一,它通过模拟攻击来检测Web应用的安全弱点。AppScan可以扫描HTTP/HTTPS协议,识别潜在的注入攻击、跨站请求伪造(CSRF)、文件包含漏洞等,并生成详细的报告供用户参考。 4. **...
Web安全测试:《Appscan用户指南》《Web安全深度剖析》
11-03
4. **扫描配置和策略**:学习如何定制扫描设置以适应不同项目的需求,创建和管理自定义安全检查策略。 5. **报告和结果分析**:理解和解释AppScan生成的报告,识别高优先级的漏洞,并理解其影响。 6. **误报和漏报...
web安全扫描问题疑问 AppScan
03-18
描述虽然为空,但从标签“源码 工具”可以推测,可能涉及到的是在源代码层面以及通过工具进行安全检查的相关问题。这通常包括分析代码以发现潜在的安全风险,以及如何利用工具(如AppScan)来自动化这个过程。 文件...
java: 非法字符
01-16
使用java解决 java: 非法字符: '\ufeff“ 问题
appscan 10 web系统安全测试工具
05-17
AppScan是用于web项目的安全测试工具,扫描网站所有url(自动+手动),自动测试是否存在各种类型的漏洞。1、下载解压缩,得到获得AppScan10中文版原程序; 2、首先双击“AppScan_Setup_10.0.0.exe”开始安装,选择...
Java项目防止SQL注入的方式总结
睡竹的博客
03-02 9522
Java项目防止SQL注入的方式总结 springboot配置请求过滤器防止SQL注入 nginx防止SQL注入 mybatis防止SQL注入
Java Filter过滤xss注入非法参数的方法
热门推荐
strawbingo的专栏
01-17 1万+
http://blog.csdn.net/feng_an_qi/article/details/45666813 Java Filter过滤xss注入非法参数的方法 web.xml: [html] view plain copy filter>          filter-name>XSSFilerfilter-name>        
Java防止SQL注入(通过Filter过滤器功能进行拦截)
qq_37272886的博客
05-18 6444
前言 contentType=multipart/form-data的header以文件流的的形式上传文件时,如果代码中使用了Filter,会出现无法用Filter 中用ServletRequest.getParameter 方法取不到一并提交上来的参数 multipart/form-data格式: package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import java.
java.io.IOException: Stream closed,关于设置拦截器获取post请求的参数,出现的流关闭问题
weixin_48788601的博客
01-04 6724
java.io.IOException: Stream closed,关于设置拦截器获取post请求的参数,出现的流关闭问题
java 过滤非法字符_javaweb开发之Filter实现过滤非法文字
weixin_35982453的博客
02-16 715
一、概述在论坛或者网站中,我们会发现一些用户发表一些不文明或者非法的文字。这样可能导致论坛的不文明和谐,甚至还可能带来一些法律上的纠纷。我们可以使用过滤器来帮助我们过滤掉这些不文明的文字。二、思路统一维护非法文字,为了提高程序运行效率,可以将其缓存到内存中。当用户提交请求后,利用过滤器对指定程序(如发表言论)请求的内容进行过滤。发现有非法字符后替换成合法字符(如“*”)。三、具体实现​keywor...
Spring 的优秀工具类盘点,第 2 部分: 特殊字符转义和方法入参检测工具类
elimago的专栏
09-18 1395
Spring 不但提供了一个功能全面的应用开发框架,本身还拥有众多可以在程序编写时直接使用的工具类,您不但可以在 Spring 应用中使用这些工具类,也可以在其它的应用中使用,这些工具类中的大部分是可以在脱离 Spring 框架时使用的。了解 Spring 中有哪些好用的工具类并在程序编写时适当使用,将有助于提高开发效率、增强代码质量。在这个分为两部分的文章中,我们将从众多的 Spring
特殊字符检测工具(防止传入非法字符和sql注入攻击)
心若有所栖,何似风飘缈。
09-02 1307
特殊字符检测工具(防止传入非法字符和sql注入攻击)
web应用系统安全测试规范
最新发布
12-07
本文档是关于"web应用系统安全测试规范"的详细指南,针对2023年3月更新版本,旨在确保web应用程序的安全性。安全测试是项目开发过程中的关键环节,它在整个项目流程中占据重要位置,尤其是在风险评估和安全控制方面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值