Java Web 一些特殊字符的过滤(appscan检查的安全问题)

最新推荐文章于 2023-04-28 18:24:11 发布
最新推荐文章于 2023-04-28 18:24:11 发布
阅读量7.1k 收藏 2
点赞数
分类专栏: JAVA 文章标签: java 特殊字符过滤 filter SQL注入 appscan检查的安全问题

适用于出现以下问题:

1、SQL盲注

2、存储的跨站点脚本编制 或 跨站点脚本编制


import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class AntiSqlInjectionfilter implements Filter {  
	  
    public void destroy() {  
        // TODO Auto-generated method stub  
    }  
      
    public void init(FilterConfig arg0) throws ServletException {  
        // TODO Auto-generated method stub  
    }  
      
    public void doFilter(ServletRequest args0, ServletResponse args1,  
            FilterChain chain) throws IOException, ServletException {  
        HttpServletRequest req=(HttpServletRequest)args0;  
        HttpServletResponse res=(HttpServletResponse)args1;  
         //获得所有请求参数名  
        Enumeration params = req.getParameterNames();  
        String sql = "";  
        while (params.hasMoreElements()) {  
            //得到参数名  
            String name = params.nextElement().toString();  
            //System.out.println("name===========================" + name + "--");  
            //得到参数对应值  
            String[] value = req.getParameterValues(name);  
            for (int i = 0; i < value.length; i++) {  
                sql = sql + value[i];  
            }  
        }  
        //System.out.println("============================SQL"+sql);  
        //有sql关键字,跳转到error.html  
        if (sqlValidate(sql)) {
            throw new IOException("您发送请求中的参数中含有非法字符:"+sql);  
            //String ip = req.getRemoteAddr();  
        } else {  
            chain.doFilter(args0,args1);  
        }  
    }  
      
    //效验  
    protected static boolean sqlValidate(String str) {  
        str = str.toLowerCase();//统一转为小写  
        String badStr = "'|select|update|and|or|delete|insert|truncate|char|into"
        		+ "|substr|declare|exec|master|drop|execute|"
        		+ "union|;|--|+|,|like|//|/|%|#|*|$|@|\"|http|cr|lf|<|>|(|)";//过滤掉的sql关键字,可以手动添加  
        String[] badStrs = badStr.split("\\|");  
        for (int i = 0; i < badStrs.length; i++) {  
            if (str.indexOf(badStrs[i]) >= 0) {  
                return true;  
            }  
        }  
        return false;  
    }  
}


zou493451860
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全扫描工具:appscan安装和使用
08-19
Web安全扫描工具:appscan安装步骤、使用
web安全过滤特殊字符
kaie123的博客
03-07 3528
[1] |(竖线符号) [2] &amp; (&amp; 符号) [3];(分号) [4] $(美元符号) [5] %(百分比符号) [6] @(at 符号) [7] '(单引号) [8] "(引号) [9] \'(反斜杠转义单引号) [10] \"(反斜杠转义引号) [11] &lt;&gt;(尖括号) [12] ()(括号) [13] +(加号) ...
javaweb敏感字符过滤
weixin_42017951的博客
03-27 945
注意: 1、过滤器慎用日志、中文乱码、敏感字符 2、web过滤器、监听和servlet的调用顺序 先用监听-----过滤器—再调用servlet 敏感字符过滤的两种方法: 1、把敏感字符放入到一个文件,从文件中读取这些字符,与请求对象中字符进行比较,如果包含有铭感字符,一般用某种符号替换 2、把敏感字符放入到数据库中,从数据库的表中读取这些字符过滤器的作用:拦截request对象,将请求传递...
springMvc 传递参数,特殊字符会被转义或过滤掉,造成后台拿到的数据不正确
热门推荐
xcc_2269861428的博客
09-21 1万+
项目开发中 遇到springMvc 传递参数,特殊字符会被转义或过滤掉,造成后台拿到的数据不正确。 比如cookie 前台cookie JSESSIONID=JSESSIONID=3FED1F63756106B3578F28BE154380D8; b_account_username=9kXge%2BjwS7TvYnajLmkjHg%3D%3D; b_account_token=60095d...
java 过滤特殊字符串和emoji表情符号
longqi_123的博客
07-19 4087
java 过滤特殊字符串和emoji表情符号
java使用正则表达式过滤特殊字符
yeah_you_are的博客
10-09 4505
在日常开发中难免会遇到处理字符串,其中可能会过滤特殊的字符,避免出错。 /** * @Author: Hyy * @Desc: 正则表达式过滤字符 * @Date: 2021/9/28 20:56 */ public class CharacterFilter { /** * 过滤出中文、数字、字母 * @param str * @return */ public static String stringFilter(String str)
appscan 10 web系统安全测试工具
05-17
AppScan是用于web项目的安全测试工具,扫描网站所有url(自动+手动),自动测试是否存在各种类的漏洞。1、下载解压缩,得到获得AppScan10中文版原程序; 2、首先双击“AppScan_Setup_10.0.0.exe”开始安装,选择...
Web安全测试:《Appscan用户指南》《Web安全深度剖析》
11-03
Web安全测试:《Appscan用户指南》《Web安全深度剖析(张炳帅编著)》
appscan web安全测试工具
11-21
AppScan是对网站等WEB应用进行安全攻击,通过真刀真枪的攻击,来检查网站是否存在安全漏洞,在使用AppScan的时候,要配置的第一个就是要检查的网站的地址,配置了以后,AppScan就会利用“探索”技术去发现这个网站...
web安全 扫描工具 Appscan .zip
05-27
一款强大的 web安全 扫描工具,可以对网站等 Web 应用 进行自动化的 应用安全扫描和 测试。
过滤过滤用户输入的非法字符
11-03
过滤过滤用户输入的非法字符,如“” “%” “+”等要的两个类XssFilter.java和XssHttpServletRequestWrapper.java
javaWeb实现的过滤器敏感字过滤
03-17
javaWeb实现的过滤器敏感字过滤,建一个敏感字符的文件,发送时实现过滤为***
Java过滤特殊字符的正则表达式
weixin_52222660的博客
04-13 2113
【代码】Java过滤特殊字符的正则表达式。
java 过滤过滤特殊字符
weixin_41761540的博客
05-08 2477
1、继承Filter过滤类 package fly.cloud.bank.config.filter; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import java.io.IOException; /** * .
Java正则表达式的常用方法,可过滤特殊字符
Andy哥的博客
02-23 3026
因为正则表达式是一个很庞大复杂的体系,在此仅列举一些些入门的常用的概念和例子,更多的请参阅相关书籍及自行摸索。 比如 public String testForStringFilter(String s){     // 清除掉所有特殊字符    String reg = "[`~!@#$%^&amp;*()+=|{}':;',\\[\\].&lt;&gt;/?~!@#¥%……&amp;*...
java过滤字符串前后特殊空格字符 NBSP
还在活水泥的未来包工头
04-28 3657
在上述代码中,通过定义正则表达式 [\s \u00A0]+ 来匹配所有空白字符,包括普通空格、特殊空格和 NBSP,然后使用 replaceAll() 方法将字符串开头和结尾的特殊空格字符过滤掉,最后得到过滤后的字符串。要注意的是,在 replaceAll() 方法中,^ 表示字符串开头,$ 表示字符串结尾,用于匹配特殊空格字符出现的位置。在Java中,可以使用 trim() 方法过滤字符串前后的特殊空格字符,但是该方法无法过滤特殊空格字符 NBSP(非断空格)。
java正则表达式 过滤特殊字符_java中如何使用正则表达式过滤特殊字符
weixin_29337309的博客
02-25 611
实例代码如下:推荐java视频教程:java学习视频public class FilterSpecialStr {public static void main(String[] args) {String regEx="[\n`~!@#$%^&*()+=|{}':;',\\[\\].<>/?~!@#¥%……&*()——+|{}【】‘;:”“’。, 、?]";// 除了...
java token过滤器_java过滤器全局解析token
weixin_30068877的博客
02-26 1259
java过滤器全局解析token使用过滤器定义一个全局的token解析器在进行后端接口的开发过程中,一般涉及到人员用户,权限或者安全方面的考虑接口都会使用token来传递用户或者一些安全系数高的鉴权参数等。一般接口定义全局AOP解析使用AOP,对要获取token信息的接口,进行方法增强,在进入controller之前,动态的为接口方法鉴权,或者为接口方法添加一个token相关的参数。根据求不同...
java 过滤所有特殊字符
我的专栏
09-26 3971
public static String StringFilter(String str) throws PatternSyntaxException { // 只允许字母和数字 // String regEx ="[^a-zA-Z0-9]"; // 清除掉所有特殊字符 String regEx="[^0-9a-zA-Z\\u4E00-\\u9FA5]"; Pattern p = Pattern.compile(regEx); Matcher m = p...
HCL AppScan能发现什么安全问题?举例
最新发布
07-15
这些只是一些常见的安全问题示例,HCL AppScan还可以发现其他类的漏洞和安全问题。通过扫描应用程序并分析其代码和配置,HCL AppScan能够帮助用户识别潜在的安全风险,并提供修复建议以加强应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值