解决sql注入和xss漏洞

已于 2022-10-18 23:31:05 修改
阅读量588 收藏
点赞数
分类专栏: 思路 文章标签: sql xss java
于 2021-05-17 22:00:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xx897115293/article/details/116951203
版权

WebMvcConfig.java

registry.addInterceptor(new SqlInjectInterceptor()).addPathPatterns("/**");

 SqlInjectInterceptor.java

@Component
public class SqlInjectInterceptor implements HandlerInterceptor{

    @Override
    public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
            throws Exception {
        // TODO Auto-generated method stub

    }

    @Override
    public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)
            throws Exception {
        // TODO Auto-generated method stub

    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object arg2) throws Exception {
        
        //按登录用户选择性使用拦截器
        Session session = SecurityUtils.getSubject().getSession();
        User user = (User) session.getAttribute(Constant.LOGIN_USER);
        //测试
        /*if(user==null || (user.getId()!= 2841 && user.getId()!= 2847)){
            return true;
        }*/
        //线上
        if(user==null || (user.getId()!= 3410 && user.getId()!= 3533)){
            return true;
        }
        
        //sql注入拦截
        Enumeration<String> names = request.getParameterNames();
        while(names.hasMoreElements()){
            String name = names.nextElement();
            String[] values = request.getParameterValues(name);
            for(String value: values){
                //sql注入直接拦截
                if(judgeSQLInject(value.toLowerCase())){
                    response.reset();
                    response.setContentType("application/json;charset=UTF-8");
                    response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
                    response.setHeader("Access-Control-Allow-Credentials", "true");
                    PrintWriter pw = response.getWriter();
                    Map<String, Object> errorMap = new HashMap();
                    errorMap.put("status", 0);
                    Map<String, Object> statusInfo = new HashMap();
                    statusInfo.put("global", "参数含有非法攻击字符,已禁止继续访问!");
                    errorMap.put("statusInfo", statusInfo);
                    pw.write(JSON.toJSONString(errorMap));
                    pw.flush();
                    pw.close();
                    return false;
                }
                //跨站xss清理
                clearXss(value);
            }
        }
        return true;
    }

    /**
     * 判断参数是否含有攻击串
     * @param value
     * @return
     */
    public boolean judgeSQLInject(String value){
        if(value == null || "".equals(value)){
            return false;
        }
        //String xssStr = "and|or|select|update|delete|drop|truncate|%20|=|-|--|;|'|%|#|+|,|//|/| |\\|!=|(|)";
        String xssStr = "and|select|update|delete|drop|truncate|%20|=|--|;|'|%|#|+|//|/| |\\|!=|(|)";
        String[] xssArr = xssStr.split("\\|");
        for(int i=0;i<xssArr.length;i++){
            if(value.indexOf(xssArr[i])>-1){
                return true;
            }
        }
        return false;
    }

    /**
     * 处理跨站xss字符转义
     *
     * @param value
     * @return
     */
    private String clearXss(String value) {
        if (value == null || "".equals(value)) {
            return value;
        }
        value = value.replaceAll("<", "<").replaceAll(">", ">");
        value = value.replaceAll("\\(", "(").replace("\\)", ")");
        value = value.replaceAll("'", "'");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",
                "\"\"");
        value = value.replace("script", "");
        return value;
    }
}

小熊123~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
m0_57379855的博客
03-23 5617
漏洞总结篇SQL注入修复过滤特殊字符修改php.in使用mysqli_real_escape_string()函数加固数据库方面加固管理方面 SQL注入 是指web应用程序对用户输入的数据的合法性没有判断或者没有严格的过滤,攻击者可以在web程序中把定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目
Spring MVC防御CSRF、XSSSQL注入攻击
CHIKA2333的博客
07-30 767
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
java防止SQL注入
zwjzone的博客
03-10 1175
springboot使用$符号传参,防止sql注入
Sql Inject-SQL注入
田田云逸的博客
04-28 377
在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。一个严重的SQL注入漏洞,可能会直接导致一家公司破产!SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。哦,SQL注入漏洞,可怕的漏洞
Java中的安全性问题,如跨站脚本攻击(XSS)和SQL注入
最新发布
编程小弟的博客
04-15 638
Java中的安全性问题涉及多个方面,包括跨站脚本攻击(Cross-Site Scripting,XSS)和SQL注入等。这些攻击都是由于程序在处理用户输入时未能有效过滤或转义恶意代码,导致攻击者能够插入并执行恶意脚本或命令。跨站脚本攻击是一种安全漏洞,攻击者可以在其中注入恶意脚本到网页中,当其他用户浏览该网页时,恶意脚本将在用户的浏览器中执行。这可能导致用户会话的劫持、隐私数据的泄露或其他恶意行为。在Java Web应用中,XSS攻击通常发生在以下几种情况:为了防止XSS攻击,开发者应该:SQL注入是一种攻
mybatis sql注入拦截器
u010449328的博客
07-27 807
mybatis防范sql注入拦截插件,为了防止误伤其它参数,插件只解析了mapper中占位符${}的参数来匹配规则,该插件非侵入式和无其它依赖
预防XSS攻击和SQL注入XssFilter
05-19
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是...
SQL 注入和 XSS 漏洞详解
01-25
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。
自己动手编写SQL注入漏洞扫描工具
03-25
本篇将探讨如何自己动手编写一个SQL注入漏洞扫描工具,通过分析提供的程序代码,我们可以了解基本的检测原理和技术。 首先,我们需要理解SQL注入的基本概念。当用户提交的数据被直接拼接到SQL查询中,而没有进行...
极致CMS(以下简称_JIZHICMS)的一次审计-SQL注入+储存行XSS+逻辑漏洞.pdf
03-22
本文档将对极致CMS进行深入的安全审计,揭露其潜在的安全漏洞和风险,帮助开发者和使用者更好地理解和改进极致CMS的安全性。 SQL注入漏洞 SQL注入是一种常见的Web应用安全漏洞,攻击者可以通过inject恶意的SQL代码...
SSM传统框架使用Filter方式解决Xss攻击,支持指定请求、指定参数进行处理
泯灭于众生,高歌于孤夜!
11-25 1333
创建拦截器 import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; import java.util.ArrayList; import java.util.List; public class XssFilter implements Filter...
常见漏洞原理、利用方式及修复方式----SQL注入XSS
qq_37698661的博客
03-01 2862
sqli 1、原理: (1)将SQL语句插入或添加到应用(用户)的输入参数中,再将这些参数传递给后台的SQL服务器加以解析并执行。 (2)刚开始接触sqli,首先我们得明白常见的web架构是怎么样的,通俗点来说,也就是所有的浏览器通过表示层来访问一个网站,其具体的工作流程是什么样的? 流程:浏览器发起一个请求,并将请求交给服务器,服务器当中运行着Apache\Nginx等中间件来解析请求,当对请求中的网站进行解析的时候,需要用到解析脚本(ASP\PHP\JSP.NET),而存储层的东西是不能直接使用的,所以
什么是sql注入xss漏洞
_QIuXiaoYi的博客
05-30 2695
            XSS(Cross Site Script)跨站脚本攻击,指恶意攻击者往web页面插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页面时,嵌入其中的web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。因此,一般在表单提交或者url参数传递前,对需要的参数进行过滤。             Sql注入攻击原理:使用用户输入的参数拼凑sql查询语句,使用户...
spring解决sql注入问题:自定义拦截器
lj1548259095的博客
11-30 8120
近期刚做完的restful接口项目用安全软件扫描后,出现blind sql inject高危漏洞,查看,程序里已经使用了PreparedStatement预编译sql,却仍不好使,找不出原因,最后不得已,自定义了一个sql注入拦截器,对含有非法攻击字符的接口输入参数进行拦截,再次扫描后,漏洞消失。具体实现如下:       一、自定义拦截器类SqlInjectInterceptor,实现spri
SpringMvc拦截器,统一异常拦截,非法sql拦截(小白易懂版
weixin_52293201的博客
05-27 501
SpringMVC中的interceptor拦截器,它主要的作用是拦截指定的用户请求,并进行相应的预处理与后处理。其拦截的时间点在“处理器映射器根据用户提交的请求映射出了所要执行的处理器类,并且也找到了要执行该处理器类的处理器适配器,在处理器适配器执行处理器之前。”当然处理器映射器映射出所要执行的处理器类时,已经将拦截器与处理器组合为了一个处理器执行链,并返回给了中央调度器。
拦截器中校验请求参数(漏洞修复之防止sql注入)
Logan_addoil的博客
01-10 920
防止sql注入sql中我们常用# 但是有些时候难免要用到拼接sql,这时候我们在后端就要进行参数的判断,综合网上查找的情况,记录一下.
XSS漏洞注入,分类,防御方法
Y22Lee的博客
04-06 3606
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
WEB安全:XSS漏洞SQL注入漏洞介绍及解决方案
xv7676的博客
05-10 1046
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊。
常用解决跨站脚本(XSS) 和 代码注入思路
budongfengqing的博客
08-09 673
常用解决跨站脚本和代码注入思路
请用自己熟悉代码实现SQL注入XSS漏洞的防护?
05-25
SQL注入XSS漏洞是Web开发中常见的安全问题,下面我分别介绍如何防护这两种漏洞。 ## SQL注入防护 ### 1. 使用预编译语句 预编译语句可以将SQL语句和参数分开处理,从而避免了SQL注入攻击。在使用预编译语句时,首先需要定义SQL语句的模板,然后将参数绑定到模板中。 例如,使用Java语言的JDBC连接数据库时,可以使用PreparedStatement对象来实现预编译语句: ```java String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; PreparedStatement statement = connection.prepareStatement(sql); statement.setString(1, username); statement.setString(2, password); ResultSet resultSet = statement.executeQuery(); ``` 上面的代码中,使用问号占位符代替了具体的参数值,然后通过setString方法将参数绑定到了PreparedStatement对象中,最后执行executeQuery方法执行查询操作。 ### 2. 过滤输入参数 在编写SQL语句时,需要对用户输入进行过滤,以确保输入的数据合法。一般来说,可以使用正则表达式来过滤用户输入,例如,限制用户名只能由数字和字母组成: ```java String username = request.getParameter("username"); if (!username.matches("^[a-zA-Z0-9]+$")) { // 返回错误信息 } ``` ### 3. 使用ORM框架 ORM框架(Object-Relational Mapping)可以将Java对象映射到数据库中的表,从而避免了手动编写SQL语句的过程。ORM框架通常会自动处理SQL注入攻击,因为它们使用预编译语句或者其他安全的方式来处理数据库操作。 ## XSS漏洞防护 ### 1. 过滤输出内容 在输出内容到Web页面时,需要对用户输入进行过滤,以确保输出的数据安全。一般来说,可以使用HTML编码来过滤用户输入,例如,将所有的<、>、&、'、"符号转换为HTML实体: ```java String username = request.getParameter("username"); out.print("Hello, " + StringEscapeUtils.escapeHtml(username) + "!"); ``` 上面的代码中,使用了Apache Commons Lang库中的StringEscapeUtils.escapeHtml方法来将用户输入进行HTML编码。 ### 2. 使用CSP策略 CSP(Content Security Policy)是一种Web安全策略,它可以限制Web页面中加载的资源,从而避免XSS攻击。CSP策略可以设置在HTTP响应头中,例如: ``` Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'; ``` 上面的代码中,default-src表示默认的资源加载来源只能是当前域名,script-src表示脚本只能从当前域名和内联脚本中加载。这样一来,即使攻击者注入了恶意脚本,也无法在页面中执行。 ### 3. 使用HTTPOnly和Secure标记 在使用cookie时,可以设置HTTPOnly和Secure标记来避免XSS攻击。HTTPOnly标记可以防止JavaScript获取cookie的值,Secure标记可以确保cookie只能通过HTTPS协议传输。例如: ```java Cookie cookie = new Cookie("username", "Alice"); cookie.setHttpOnly(true); cookie.setSecure(true); response.addCookie(cookie); ``` 上面的代码中,设置了HTTPOnly和Secure标记后,即使攻击者注入了恶意脚本,也无法获取到cookie的值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值