springboot-防止sql注入,xss攻击,cros恶意访问

最新推荐文章于 2024-09-05 15:45:17 发布
最新推荐文章于 2024-09-05 15:45:17 发布
阅读量4.7w 收藏 132
点赞数 18
分类专栏: springboot 文章标签: sprinboot-sql注入 springboot-xss攻击 springboot-cros跨域 springboot-csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yhhyhhyhhyhh/article/details/84504487
版权

springboot-防止sql注入,xss攻击,cros恶意访问

文章目录

完整代码下载链接:

https://github.com/2010yhh/springBoot-demos.git

环境

idea2018,jdk1.8,

springboot版本:springboot1.5.9.RELEASE

1.sql注入

sql注入:

把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

解决方法:

1)无论是直接使用数据库还是使用如mybatis组件,使用sql的预编译,不要用拼接字符串。

2)后台过滤检测:使用正则表达式过滤传入的参数**;**.字符串过滤

3)前端检测sql常见关键字,如or and drop之类的

测试:

1.sql直接拼接,访问:http://localhost:8180/webapp2/testSql1?userName=1&passWord=1 or 1=1


实际执行sql:sql1:select user_name,pass_word from cas_user where user_name= '1' and pass_word=1 INVALID 1=1

结果:输入错误信息也能查询
在这里插入图片描述

2.sql预编译(其他mybais组件类似),访问:http://localhost:8180/webapp2/testSql2?userName=1&passWord=1 or 1=1

实际执行sql:sql2:select user_name,pass_word from cas_user where user_name= '1' and pass_word= '1 INVALID 1=1'

结果:
在这里插入图片描述

2种不同的sql写法:
在这里插入图片描述

3.代码中增加了过滤器检测表单输入后,sql关键字段会被过滤掉;访问:http://localhost:8180/webapp2/testSql2?userName=1&passWord=1 or 1=1

结果:非法输入被过滤器过滤掉了(或者替换了)

最低0.47元/天 解锁文章
SingleOneMan
关注
专栏目录
预防XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
修复Cors跨域漏洞
压力是什么?
09-24 4476
修复Cors跨域漏洞
Spring Framework CVE-2020-5408 CORS 配置漏洞
日拱一卒无有尽,功不唐捐终入海
08-27 845
背景: 一直零散的使用着Spring Boot 的各种组件和特性,从未系统性的学习和总结,本次借着这个机会搞一波。共同学习,一起进步。哈哈CVE-2020-5408 是一个在Spring Framework中的跨站请求伪造(Cross-Site Request Forgery, CSRF漏洞。该漏洞主要是由于Spring Framework在处理跨站资源共享(Cross-Origin Resource Sharing, CORS)时的错误配置。
【安全漏洞SpringBoot + SpringSecurity CORS跨域资源共享配置
最新发布
weixin_42925623的博客
09-05 1664
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
Springboot是怎么解决跨域问题的?
凡夫编程
03-16 2098
跨域访问问题的出现,起因于浏览器的同源策略,然而事情的事相是跨域请求可以发出去,服务器端也可以收到请求并返回正常的结果,只是最终的响应结果被浏览器拦截了。如今是什么形形势了?前后端分离,分布式部署、微服务等如雨后春笋般出现了,都有跨域访问的需要,同源策略限制,似乎有点不合时宜。那么解决这个问题的思路是什么呢? 其实理解了什么是同源策略以及跨域问题出现的原因,解决思路也就再明显不过了。既然是前端发起请求后,后端收到请求也处理了请求并响应了结果,只是浏览器把结果给拦截了,那么最直接的想法就是在前端绕过同源策略限
SpringBoot中通过CORS解决跨域问题(实战+剖析)
Mango的博客
02-25 4819
文章目录一 一
sql注入xss攻击, springmv拦截器
07-24
sql注入xss攻击, springmv拦截器,可自由调整需要拦截的字符
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过注入恶意脚本到网页上,来劫持用户会话、窃取敏感信息或执行其他恶意操作。SpringBoot是一个流行的Java微服务框架,而ESAPI...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过注入恶意脚本到网页上,来劫持用户会话、窃取敏感信息或执行其他恶意操作。SpringBoot是一个流行的Java框架,用于快速开发高效...
SpringBoot配置Cors解决跨域请求问题
xqhys的博客
08-25 1269
Spring Boot 配置 CORS 1、使用@CrossOrigin注解实现 #如果想要对某一接口配置CORS,可以在方法上添加@CrossOrigin注解 : //@CrossOrigin(origins = {"http://localhost:9000", "null"}) @CrossOrigin(allowCredentials = "true", allowedHe...
处理项目扫描出来的一些常见漏洞bug(java相关)
jennycisp的博客
04-12 1388
很多时候,一些项目,或许都会有一定的系统安全要求。一般常见于政府项目比较多!!!项目做完后,都需要做一些安全的扫描:包括以下方面:1.服务器安全漏洞问题扫描2.项目安全漏洞问题扫描3.中间件安全漏洞扫描(例如:mysql、oracle、redis、nacos等)那我们今天就来讲讲第2点,项目安全漏洞的场景问题!!!来,上干货!!!
springboot接口服务,防刷、防止请求攻击,AOP实现
热门推荐
徐本锡的专栏
02-16 4万+
springboot接口服务,防刷、防止请求攻击,AOP实现
springboot学习系列 前后端分离项目解决Cors跨域问题
weixin_45848992的博客
08-30 227
第一种方法: 在Controller类上添加@CrossOrigin注释 @Controller @Api(tags = "用户管理") @CrossOrigin //所有域名均可访问该类下所有接口 //@CrossOrigin("https://blog.csdn.net") // 只有指定域名可以访问该类下所有接口 @RequestMapping(value = "/user") public class UserController { @Autowired UserServic
SpringBoot处理CORS问题
MR_Peach07的博客
11-10 2530
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Springboot 利用CORS 解决跨域问题
nvd11的专栏
10-17 721
什么是跨域 首先我们先用springboot 建立1个简单的API, 它返回1个json package com.example.demo_api_cors.controller; import com.example.demo_api_cors.dto.ValueDto; import org.springframework.web.bind.annotation.CrossOrigin; import org.springframework.web.bind.annotation.RequestMap
教你完美搞定 Spring Boot 反爬虫、防止接口盗刷
xuanwo007的博客
07-06 1403
kk-anti-reptile 是适用于基于 spring-boot 开发的分布式系统的反爬虫组件。 系统要求 基于 spring-boot 开发(spring-boot1.x, spring-boot2.x均可) 需要使用 redis 工作流程 kk-anti-reptile 使用基于 Servlet 规范的的 Filter 对请求进行过滤,在其内部通过 spring-boot 的扩展点机制,实例化一个 Filter,并注入到 Spring 容器 FilterRegistrationBean 中,
SpringBootXss攻击
weixin_48040732的博客
11-11 5793
这里记录一下怎么防止Xss攻击代码,等以后有需要用到的话,自己直接使用即可。里面有对application/json数据格式和非application/json数据格式做Xss攻击处理。
JAVA代码审计之SQL注入,基于Spring boot和jdbc以及mybatis
GXcodes的博客
08-02 3144
本节讲述JavaWeb代码审计中存在SQL注入漏洞的情况。基于spring boot,mysql,两种连接方式:jdbc和mybatis。代码比较多,适合自己创建项目,跟着走一遍,如果只想了解原理,可以忽略代码,只看大概即可。比如Controller类或者sql语句的编写SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互中,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数中,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值