解决SQL注入漏洞方法(二)使用AOP解决

已于 2022-04-11 17:53:10 修改
阅读量976 收藏 1
点赞数 1
分类专栏: SQL注入漏洞-Java 文章标签: SQL注入 URL过滤 参数验证 切面编程 Spring AOP
于 2022-04-11 17:50:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxdwr520/article/details/124104203
版权

 当发生SQL注入时不会执行控制器的方法,直接上代码

//tip:自定义一个切面类,并添加@Aspect,@Component
	@Pointcut("execution(public * Your package path.*.*(..)")
	public void test() {
	}

	
	@Around("test()")
	public Object arround(ProceedingJoinPoint pjp) {
		ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
		HttpServletRequest request = attributes.getRequest();
        String url = request.getRequestURL().toString();
		String[] strings = {"add","select","drop","delete","from","where"};//简单定义
		for (int i = 0; i < strings.length; i++) {
			if (url.indexOf(strings[i]) >= 0) {//请求的URL中不能包含
				System.out.println("当前请求:" + IS_SQL_INJECTION + ",有注入的字符:" + strings[i]);
				return url;
			}
		}
		Object[] args =pjp.getArgs();// 参数
		for (int i = 0; i < args.length; i++) {
			for (int j = 0; j < strings.length; j++) {
				if (strings[j].indexOf((String)args[i]) >= 0){// 参数不能包含
					System.out.println(UNVALIDATED_INPUT + ":" + args[i] );
					return args[i];
				}
			}
		}
		return null;
	}
@Autowired
    UserService userService;

    @RequestMapping("/a2ddUser")//这里用mapping和name测试
    public String addUser(String name,int age,String sex){
        System.out.println("你开始插进来了吗?");
        if (name != null) {//简单判断一下
            User user = new User();
            user.setAge(age);
            user.setName(name);
            user.setSex(sex);
            int i = userService.insertUser(user);
            if(i > 0) {
                System.out.println(name + "我开始插进来了?我没感觉到!");
                return "success";
            }
        }
        System.out.println(name + "你插入失败了" );
        return "error";
    }

以下分析SQL注入方式,URL注入和参数注入

(PS:可以不看下面的分析1和2,用上面的代码可以解决了!)

1、请求的URL包含自定义的关键字注入方式,直接上代码




	@Pointcut("execution(public * "Your package path.*.*(..)")
	public void test() {
	}

	
	@Around("test()")
	public Object arround(ProceedingJoinPoint pjp) {
		ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
		HttpServletRequest request = attributes.getRequest();
String url = request.getRequestURL().toString()
		String[] strings = {"add", "select", "drop", "delete", "from", "where"};//简单定义
		for (int i = 0; i < strings.length; i++) {
			if (url.indexOf(strings[i]) >= 0) {//请求的URL中不能包含
				System.out.println("当前请求:" + IS_SQL_INJECTION + ",有注入的字符:" + strings[i]);
				return url;
			}
		}
		return "success";
	}
@Autowired
    UserService userService;

    @RequestMapping("/addUser")
    public String addUser(String name,int age,String sex){
        System.out.println("你开始插进来了吗?");
        if (name != null) {//简单判断一下
            User user = new User();
            user.setAge(age);
            user.setName(name);
            user.setSex(sex);
            int i = userService.insertUser(user);
            if(i > 0) {
                System.out.println(name + "我开始插进来了?我没感觉到!");
                return "success";
            }
        }
        System.out.println(name + "你插入失败了" );
        return "error";
    }

 可以看到当URL包含自定义的关键字时直接返回了当前URL,连控制器的方法都不执行了!

2、当URL没有包含自定义的关键字,而参数包含自定义的关键字的注入方式,直接上代码

@Around("test()")
	public Object arround(ProceedingJoinPoint pjp) {
		Object[] args =pjp.getArgs();
		String[] strings = {"add","select","drop","delete","from","where"};//简单定义
		for (int i = 0; i < args.length; i++) {
			for (int j = 0; j < strings.length; j++) {
				if (strings[j].indexOf((String)args[i]) >= 0){// 参数不能包含
					System.out.println(UNVALIDATED_INPUT + ":" + args[i] );
					return args[i];
				}
			}
		}
		return null;
	}

@Autowired
    UserService userService;

    @RequestMapping("/a2ddUser")
    public String addUser(String name,int age,String sex){
        System.out.println("你开始插进来了吗?");
        if (name != null) {//简单判断一下
            User user = new User();
            user.setAge(age);
            user.setName(name);
            user.setSex(sex);
            int i = userService.insertUser(user);
            if(i > 0) {
                System.out.println(name + "我开始插进来了?我没感觉到!");
                return "success";
            }
        }
        System.out.println(name + "你插入失败了" );
        return "error";
    }

  同样可以看到当参数值包含自定义的关键字时,直接返回了当前参数值,连控制器的方法都不执行

Zxdwr520
关注
专栏目录
Spring Boot实现分布式微服务开发实战系列 -- AOP切面实现SQL注入
u011134780的博客
07-02 1773
一,AOP切面实现 首先在pom里依赖aop,版本号:2.1.0.RELEASE 这里用Aop主要实现日志及异常处理,首先我们在接口层(lyn-web)创建一个Aop的切面类,如下: 定义好切面,然后写前置通知,后置通知,环绕通知。 前置通知主要打印了请求接口、IP、接口请求方式等信息,环绕通知抓取了接口的响应时间和异常处理,后置通知打印了相应的参数。接下来我将使用Aop实现一...
目标URL存在SQL注入漏洞
夜晓星的博客
03-26 6848
项目渗透测试出现 目标URL存在SQL注入漏洞 的问题: 这里就使用拦截器进行对request的host进行了验证: package com.XXX.interceptoer; import com.jfinal.aop.Interceptor; import com.jfinal.aop.Invocation; import javax.servlet.http.Htt...
利用spring AOP 实现 sql注入检测
三三两两的博客
05-20 976
转https://blog.csdn.net/weixin_41922289/article/details/88267790 利用spring AOP 实现 sql注入检测 什么是sql注入? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入...
AOP-2-代码实战
weixin_44383484的博客
12-14 533
AOP-2-代码实战
SQL注入SQL注入漏洞的检测及御,零基础入门到精通
最新发布
baimao__Ch的博客
07-23 1232
SQL注入(SQL Injection)是一种广泛存在于Web应用程序中的严重安全漏洞,它允许攻击者在不得到授权的情况下访问、修改或删除数据库中的数据。这是一种常见的攻击方式,因此数据库开发者、Web开发者和安全专业人员需要了解它,以采取措施来预和检测SQL注入漏洞。01什么是SQL注入SQL注入是一种攻击技术,攻击者通过在输入字段中插入恶意SQL代码,试图欺骗应用程序以执行不安全的数据库操作。这些恶意SQL代码将与应用程序的数据库进行交互,允许攻击者执行未授权的操作。
使用SpringAOP拦截关键字,sql注入
wuweuhai的博客
11-12 1075
使用SpringAOP拦截关键字,sql注入前言一、SqlFilter是什么?使用步骤1.在web.xml中配置2.编写过滤方法总结 前言 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 一、SqlFilter是什么? sqlFilter主要是用来sql注入,在数据做sql注入
SQL注入的一些方法
b9264826的博客
11-04 57
SQL注入是恶意者利用程序中有拼接输入SQL语句来进行攻击的,存诸过程中有个将值参数化能有效的解决SQL注入,但有时候不是所有的SQL语句都得写成存诸过程。比如一些简单的SQL语句就没必要了,这时我们也可以利用将值参数化来解决被注入的可能性!如: string sql = "insert into table(name,sex,address,age) values(@name...
利用Aop对排序字段,排序方式及搜索内容进行过滤,sql注入
qq_44447372的博客
06-13 388
利用Aop对排序字段,排序方式及搜索内容进行过滤,sql注入
基于AOP和动态污点分析的SQL注入行为检测方法.pdf
09-19
- 漏洞检测:指的是在软件开发过程中发现和修复安全漏洞的过程,这里特指SQL注入漏洞的检测。 综上所述,该文章提出的方法通过将AOP和动态污点分析相结合,为Web应用程序提供了一种高效且易于复用的SQL注入御机制...
基于AOP与SQL结构分析的SQLIAs动态检测及御.pdf
09-19
本文介绍了一种基于面向方面编程(Aspect-Oriented Programming,AOP)和SQL语句结构分析的SQL注入攻击(SQL Injection Attacks,SQLIAs)动态检测及方法。文章首先阐释了SQL注入攻击的危险性和有效性,指出任何...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
基于ECA规则和动态污点分析的SQL注入攻击在线检测.pdf
01-04
SQL注入攻击是一种常见的针对Web应用程序漏洞的攻击形式。任何形式的SQL注入攻击最终都会改变原有SQL语句的逻辑结构,违背设计者的初衷。现有的SQL注入攻击检测方法存在检测代码不易被重用、不能被在线注入Web应用...
自定义注解实现拦截sql.rar
10-08
3. 数据安全:动态修改SQL条件时要确保SQL注入的安全性,避免恶意输入导致的漏洞。 4. 代码可读性:过多的注解可能导致代码可读性降低,适当的时候可以考虑封装成服务层方法。 以上就是利用自定义注解实现SQL拦截的...
C# +SQL 存储过程 实现系统数据权限审查AOP效果
sinat_40572875的博客
03-24 490
set @optype=dbo.GetSplitOfIndex(@optype,'=',2) -- xxxx 或者 xxxx&p=v。set @module=dbo.GetSplitOfIndex(@moduleAndPage,'/',1)--模块。if (charindex('Submit',@optype,0)>0--dialog 单表提交。if(CHARINDEX('&',@optype,0)>0) --包含多个参数。or @optype='savePOBill' --单据保存。
基于面向切面的sql注入过滤
学习使我快乐
09-30 268
基于面向切面的sql注入过滤 人狠话不多, 直接上代码
通过aop实现对mybatis逆向工程生成的SQL动态添加查询条件
水中加点糖
09-16 2974
问题概述 最近为了公司项目里有一个需求,原本一个用户只可以查询一个地区的数据,现在要让一个用户支持多个地区的数据。 也就是: (1个)user-->(1个)region 现在需要修改为: (1个)user-->(多个)region 其原项目中以前的查询方式是通过like regionCode%来实现的,regionCode由前端传入 类似这样的: regionCo...
Spring Boot项目中使用AOP和注解来实现解析SQL语句来实现读写分离
qq_41573661的博客
08-04 515
在Spring Boot项目中使用AOP和注解来实现解析SQL语句来实现读写分离。在切面类中,根据解析的SQL语句判断是读操作还是写操作,并设置对应的数据源类型。
AOP 拦截 sql语句
小擦鸟飞翔天的博客
07-30 2134
1 .定义注解类 @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.METHOD}) public @interface PrintSql { } 2.设置切面 @Aspect @Component public class MybatisSqlAop { @Value("${printSql.active}") private Boolean PRINT_SQL_ACTIVE; @Autowir...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值