测试项目-----问题类型及解决办法(部分,后续再加)

最新推荐文章于 2023-03-22 14:45:28 发布
最新推荐文章于 2023-03-22 14:45:28 发布
阅读量204 收藏
点赞数
分类专栏: 安全代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhang_cl_cn/article/details/107332411
版权

1.跨站点脚本编制

解决办法:增加过滤类,在web中进行配置

public class XssEscapeFilter inplements Filter{
	public XssEscapeFilter(){}
	public void destory(){}
	public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException{
		HttpServletRequest req=(HttpServletRequest)request;
		HttpServletResponse rep=(HttpServletResponse)reponse;
		Enumeration<?> params=erq.getParameterName();
		String param=null;
		while(params.hasMoreElements()){
			param = (String)param.nextElement();
			String paramValue = req.getParameter(param);
			if(checkSQLInject(paramValue)){
				req.sendRedirect(req.getContextPath()+"erroe.jsp");
			}
		}
		chain.doFilter(request,response);
	}
	public void init(FilterConfig fConfig)throw ServletException{}
	
	public static boolean checkSQLInject(String str){
		if(str==null||str!=null&&str==""){
			return false;	
		}
		String[] inj_stra={"script","mid","master","truncate","insert","select","delete","update","declare","iframe","'","onreadystatechange","alert","atestu","\"","<",">","(",")","\\","svg","confirm","prompt","","oload","onmouseover","onfocus","onerror","eval"}
	}
	str=str.toLowerCase();
	for(int i=0;i<inj_stra.length;i++){
		if(str.indexOf(inj_stra[i]>=0)){
			return true;
		}
	}
	return false;
}

web中的配置

<filter>
	<display-name>XssEscapeFilter</display-name>
	<filter-name>XssEscapeFilter</filter-name>
	<filter-class>com.zcl.xss.XssEscapeFilter</filter-class>
	<init-param>
		<param-name>characterEncoding</param-name>
		<param-value>UTF-8</param-value>
	</init-param>
</filter>
<filter-mapping>
	<filter-name>XssEscapeFilter</filter-name>
	<url-pattern>*.action</url-pattern>
</filter-mapping>

2.跨站点请求伪造

解决办法:增加RefererFilter 进行校验ip,代码如下:

public class ReferFilter extends HttpServlet implments Filter{
	private FilterConfig filterConfig;
	@Override
	public void doFilter(ServletRequest req,ServletResponse res,FilterChain chain)throws IOException,ServletException{
		HttpServletRequest request = (HttpServletRequest)req;
		HttpServletResponse response = (HttpServletResponse)rep;
		String referer=request.getHeader("referer");
		String hostStr="";
		String[] refStr={};
		if(referer!=null&&referer.length()>7){
			refStr=referer.substring(7).split(":");
			hostStr=refStr[0];
		}
		if(referer!=null&&!hostStr.contains(request.getServerName)){
			request.getRequestDispatcher("error.jsp").forward(request,response);
		}else{
			chain.doFilter(request,reponse);
		}
	}
	@Override
	public void init(FilterConfig config)throws ServletException{
		this.filterConfig=config;
	}
	public void destory(){
		this.filterConfig = null;
	}
}

web中的配置

<filter>
	<display-name>ReferFilter</display-name>
	<filter-name>ReferFilter</filter-name>
	<filter-class>com.zcl.xss.ReferFilter</filter-class>
	<init-param>
		<param-name>characterEncoding</param-name>
		<param-value>UTF-8</param-value>
	</init-param>
</filter>
<filter-mapping>
	<filter-name>ReferFilter</filter-name>
	<url-pattern>*.action</url-pattern>
</filter-mapping>

3.已解密的登录请求

解决办法:使用AES加密进行前后端加解密

4.登录错误消息凭证枚举

解决办法: 错误提示消息统一

zhang_cl_cn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
全网最全-谷粒商城项目-面试总结-简历优化
成功最快的秘诀: 抱团取暖 。
09-20 28万+
该系用采用SpringCloud架构,利用SpringBoot构建应用,利用Nacos作为服务的注册、配置中心,利用OpenFeign实现与其他模块进行交互,利用Sentinel实现熔断降级和错误处理,利用Gateway作为服务网关,利用RabbitMQ实现延迟队列,利用Redis作为缓存解决读多写少的场景,利用MySQL进行持久化,利用MyBatisPlus作为持久化框架。
X-Scan v3.1
10-22
对于多数已知漏洞,我们给出了相应的漏洞描述、解决方案及详细描述链接,其它漏洞资料正在进一步整理完善中,您也可以通过本站的“安全文摘”和“安全漏洞”栏目查阅相关说明。 3.0版本提供了简单的插件开发包,...
项目中应该避免的情况
胡耕永的专栏
04-06 816
1.测试过程中不思考的机械性测试执行。测试就像建筑一样,先打好图纸,然后在施工。测试的过程中应该多思考,而不是闷头呆板的执行。测试的过程中,虽然我们宏观上有三轮的指导,但是我们应该将任务以细化,具体到功能模块,每天分配合理的任务量。2.“自以为正确”。项目测试的过程中遇到自己解决不了,不确定的事情应该及时的向pm,测试负责人反映,并征求他们的意见,必要时向资深的同学求教。作为项目中的测试
5.19——项目测试问题笔记
尽力漂亮的博客
05-19 165
5.19——项目测试问题记录笔记单位信息-单位添成功后单位信息-单位添-添成功-实有装备-装备照片单位添-设备信息-添单位添-人员添单位编辑-人员添单位编辑-人员编辑人脸抓拍-采集信息-检索登录单位账户-单位编辑成功采集信息-证件-设备人员信息下午部分单位查询-检索 笔记 单位信息-单位添成功后 单位信息-单位添-添成功-实有装备-装备照片 问题1:图片清空 问题2:样式问题 出入口信息也存在 单位添-设备信息-添 问题:样式 单位添-人员添 问题:蒙古自治区-通辽市-市辖
mybatis-plus的批量新增/批量更新以及问题
Filwaod
11-23 4万+
批量新增/修改的几种常用方法实现
LLaMA的解读与其微调(含LLaMA 2):Alpaca-LoRA/Vicuna/BELLE/中文LLaMA/姜子牙
热门推荐
结构之法 算法之道
03-22 6万+
还开始研究一系列开源模型(包括各自对应的模型架构、训练方法、训练数据、本地私有化部署、硬件配置要求、微调等细节)​该项目部分一开始是作为此文《》的第4部分,但但随着研究深入 为避免该文篇幅又过长,将把『第4部分 开源项目』抽取出来 独立成本文。
X-Scan
04-04
对于多数已知漏洞,我们给出了相应的漏洞描述、解决方案及详细描述链接,其它漏洞资料正在进一步整理完善中,您也可以通过本站的“安全文摘”和“安全漏洞”栏目查阅相关说明。 3.0版本提供了简单的插件开发包,...
go-API-automated-testing:把Http接口功能测试和性能测试结合起来的工具
03-14
Go-API自动测试1,项目说明1.1一句话描述go实现针对的Http(后续grpc协议)接口的自动化测试和压测工具,把接口功能测试与接口压测结合起来2数据流转过程3细节思路利用Go-micro框架把用例生成,发送请求,产生并发...
grub4dos-V0.4.6a-2017-02-04更新
03-05
解决了 reboot.pro 报告的分区 ID 为 00 的分区不可被识别出来、无法访问的问题。 2.解决了 chainloader --raw 不能载硬盘 BPB hidden sectors=0 的引导扇区的问题。也是英文论坛报告的。 3.清除 ud 启动后残留...
Visual C++ 2005入门经典--源代码及课后练习答案
02-02
1.6.4 项目解决方案 11 1.6.5 设置Visual C++ 2005的选项 23 1.6.6 创建和执行Windows应用程序 24 1.6.7 创建Windows Forms应用程序 26 1.7 小结 29 第2章 数据、变量和计算 31 2.1 C++程序结构 31 ...
机器学习介绍及在金融领域的应用.zip
05-05
机器学习
麦肯锡-xx股份组织结构设计方案gl.ppt
05-05
麦肯锡-xx股份组织结构设计方案gl.ppt
目前机器人基于ChatGPT进行开发 使用机器人可以让你轻松进行对话, 后续机器人的更新升级一个命令即可搞定
05-05
目前机器人基于ChatGPT进行开发 使用机器人可以让你轻松进行对话, 后续机器人的更新升级一个命令即可搞定, 无需上服务器进行升级机器人.zip
基于matlab实现的Hilbert-Huang Transform的完整源码EEMD.rar
05-05
基于matlab实现的Hilbert-Huang Transform的完整源码EEMD.rar
UE4 C++项目,无人机射击小游戏.zip
05-05
无人机最强源码,无人机算法,易于部署和学习交流使用
ch_PP-OCRv4_rec.onnx
05-05
PP-OCR rec
node-v6.11.4-x86.msi
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v10.1.0-linux-arm64.tar.xz
最新发布
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
objcopy -O binary -j 后续怎么
06-10
在`objcopy -O binary -j`命令中,`-j`选项用于指定要提取的节的名称或地址范围。如果要提取多个节,可以将它们用逗号分隔,例如: ``` objcopy -O binary -j .data,.rodata myprogram output.bin ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值