2. 程式人生 > >Spring MVC通過攔截器處理sql注入、跨站XSS攻擊風險(jeecg)

Spring MVC通過攔截器處理sql注入、跨站XSS攻擊風險(jeecg)

阿新 發佈:2019-02-10

最近一個以前做的政府網站被資訊保安部門掃描了一下,存在一些風險,發了一份安全報告過來。所以開始對這個網站進行安全性升級。其中主要的幾個問題是sql注入風險、跨站xss攻擊和連結注入問題。

首先,什麼是sql注入,度娘一下一大堆,官方語言我就不多說了,說說我自己的理解吧。

sql注入就是通過url或者post提交資料時候,字串型別的引數會被別人利用傳入sql語句,最終破壞資料庫或者達到一些見不得人的目的。

有時候因為業務需要url中會帶一些引數,比如 ?type=xxx 一些人就會把type寫成sql語句

比如:?type=’ or 1=1– 最終拼接成的sql語句就變成了:select * from table where disabled=0 and type=” or 1=1 – and id=1 如此一來 – 後面的條件就會被遮蔽,結果就成了 1=1 也就是查詢這張表所有資料。

這還算是最溫柔的,更有甚者,把輸入的引數變成update delete drop 不就麻煩大了。

跨站攻擊和連結注入差不多,會有一些java、html的程式碼注入進來。一樣的處理。

下面說一下最簡單、直接、有效的方式吧:

直接寫一個spring的攔截器來處理一下,sql注入的就直接攔截不給訪問了,因為一些亂七八糟的引數也是無法正常繼續訪問的,其他注入清理一下就行了:

package org.jeecgframework.core.interceptors;  

import java.util.Enumeration;

import javax.servlet.http.HttpServletRequest;
import
 
 javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

public class SqlInjectInterceptor implements HandlerInterceptor{  

    @Override  
    public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)  
            throws
 
 Exception {  
        // TODO Auto-generated method stub  

    }  

    @Override  
    public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)  
            throws Exception {  
        // TODO Auto-generated method stub  

    }  

    @Override  
    public boolean preHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2) throws Exception {  
        Enumeration<String> names = arg0.getParameterNames();  
        while(names.hasMoreElements()){  
            String name = names.nextElement();  
            String[] values = arg0.getParameterValues(name);  
            for(String value: values){
                //sql注入直接攔截
                if(judgeSQLInject(value.toLowerCase())){  
                    arg1.setContentType("text/html;charset=UTF-8");  
                    arg1.getWriter().print("引數含有非法攻擊字元,已禁止繼續訪問!");  
                    return false;  
                }
                //跨站xss清理
                clearXss(value);
            }  
        }  
        return true;  
    }  

    /** 
     * 判斷引數是否含有攻擊串 
     * @param value 
     * @return 
     */  
    public boolean judgeSQLInject(String value){  
        if(value == null || "".equals(value)){  
            return false;  
        }  
        String xssStr = "and|or|select|update|delete|drop|truncate|%20|=|-|--|;|'|%|#|+|,|//|/| |\\|!=|(|)";  
        String[] xssArr = xssStr.split("\\|");  
        for(int i=0;i<xssArr.length;i++){  
            if(value.indexOf(xssArr[i])>-1){  
                return true;  
            }  
        }  
        return false;  
    }

    /**
     * 處理跨站xss字元轉義
     *
     * @param value
     * @return
     */
    private String clearXss(String value) {
        if (value == null || "".equals(value)) {
            return value;
        }
        value = value.replaceAll("<", "<").replaceAll(">", ">");
        value = value.replaceAll("\\(", "(").replace("\\)", ")");
        value = value.replaceAll("'", "'");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",
                "\"\"");
        value = value.replace("script", "");
        return value;
    }
}

然後spring-mvc.xml配置中加入攔截器:

<mvc:interceptor>
            <mvc:mapping path="/**" />
            <bean class="org.jeecgframework.core.interceptors.SqlInjectInterceptor" />
        </mvc:interceptor>

至此,測試一波,基本解決問題。

轉載請註明出處@Sychel

相關推薦

Spring MVC通過攔截處理sql注入XSS攻擊風險jeecg

最近一個以前做的政府網站被資訊保安部門掃描了一下,存在一些風險,發了一份安全報告過來。所以開始對這個網站進行安全性升級。其中主要的幾個問題是sql注入風險、跨站xss攻擊和連結注入問題。 首先,什麼是sql注入,度娘一下一大堆,官方語言我就不多說了,說說我自己

Spring MVC 中“攔截處理模型資料 @ModelAttribute

在這裡強烈建議看看我之前寫的幾篇關於SpringMVC的部落格,都是串通的。 @ModelAttribute這個是SpringMVC中處理模型資料的最難也是最重要的點。相當於以前Struct的攔截器。

sql注入指令碼攻擊

網站Web攻擊,主要有:sql注入,css攻擊,跨站指令碼攻擊,掛馬,緩衝區溢位等。         1.  sql注入:即通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令,比如先前的很多影視網站洩露VIP會員密碼

用Snort巧妙檢測SQL注入指令碼攻擊

指令碼攻擊是最近網路上最瘋狂的攻擊方法了,很多伺服器配置了先進的硬體防火牆、多層次的安全體系,可惜最後對80埠的SQL注入和跨站指令碼攻擊還是沒有辦法抵禦,只能看著資料被惡意入侵者改的面目全非而毫無辦法——把你的Snort武裝起來吧,用它來檢測這樣的攻擊! 我們將以使用開放原

spring mvc攔截配置mvc:interceptors

ria letter lec 成了 -a font 進行 匹配 eight 其實在mvc:interceptors標簽中,有兩種類型的配置,一種直接配置一個bean(bean和ref歸為一類),另一種還要配置上攔截的路徑和排除的路徑。直接配置的bean那就代表對所有的請求進

使用spring mvc攔截,進行日誌記錄

spring記錄日誌有兩種,一種是通過AOP,另一種是通過攔截器interceptor,這裡選擇的是攔截器interceptor:  一、Interceptor實現類 SpringMVC 中的Interceptor 攔截請求是通過HandlerInterceptor 來實

SpringMVC利用攔截防止SQL注入

引言 隨著網際網路的發展,人們在享受網際網路帶來的便捷的服務的時候,也面臨著個人的隱私洩漏的問題。小到一個擁有使用者系統的小型論壇,大到各個大型的銀行機構,網際網路安全問題都顯得格外重要。而這些網站的背後,則是支撐整個服務的核心資料庫。可以說資料庫就是這些服務的命脈,沒有資料庫,也就無從談起這些服務了。 對於

Spring MVC使用攔截實現日誌記錄

spring記錄日誌有兩種,一種是通過AOP,另一種是通過攔截器interceptor,這裡選擇的是攔截器interceptor:  一、Interceptor實現類 SpringMVC 中的Interceptor 攔截請求是通過HandlerInterceptor 來

玩轉spring MVC(七)----攔截

首先在專案中新增interceptor-servlet.xml來配置攔截器,當然,必須在web.xml中配置在tomcat啟動時載入,如下: <!--1.配置spring分發器(是總的控制中心 被攔截的url會匯聚到該servlet) --> <s

spring mvc inteceptor 攔截實現計算controller 的執行時間

package com.inteceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.log4j.Logger; impor

Spring MVC通過Pageable對象和PageableDefault註解獲取分頁信息MongoDB通過Pageable來操作分頁

組織 nbsp dal ref 註解 tro urn dir 個性 說明:Pageable同時也能用於操作MongoDB的分頁。 PageableSpring Data庫中定義的一個接口,該接口是所有分頁相關信息的一個抽象,通過該接口,我們可以得到和分頁相關所有信息(例如

Filter攔截【Request】處理特殊字元指令碼

處理類:繼承 HttpServletRequestWrapper package ***; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequest

SQL 盲注SQL 注入站點指令碼編制可能解決方案

跨站       3.點指令碼編制 詳細資訊 有多種減輕威脅的技巧: [1] 策略:庫或框架 使用不允許此弱點出現的經過稽核的庫或框架,或提供更容易避免此弱點的構造。 可用於更輕鬆生成正確編碼的輸出的庫和框架示例包括 Microsoft 的 Anti-XSS 庫、OWA

通過攔截Interceptor實現Spring MVC中Controller介面訪問資訊的記錄

java web工程專案使用了Spring+Spring MVC+Hibernate的結構,在Controller中的方法都是用於處理前端的訪問資訊,Controller通過呼叫Service進行業務處理後給前端返回ModelAndView物件或者只返回Json格式資料。如

27.Spring-Boot中攔截中靜態資源的處理踩過坑以及Spring mvc configuring拓展介紹

一.springboot中對靜態資源的處理  預設情況下,springboot提供存放放置靜態資源的資料夾:  /static  /public   /resources  /META-INF/resources 對於maven專案即就是存在src/main/re

spring 框架下,如何通過攔截和過濾器讀取request裡的內容

當我們用spring 攔截器實現許可權校驗的時候,往往我們需要從request中獲取一些資料進行校驗,但是當我們在攔截器獲取到資料,getinputStream,那麼在後續的action即:controller中我們獲取不到request,這是為什麼呢?因為java.util

Spring Boot乾貨系列:靜態資源和攔截處理

正文     前面章節我們也有簡單介紹過SpringBoot中對靜態資源的預設支援,今天詳細的來介紹下預設的支援,以及自定義擴充套件如何實現。 預設資源對映 Spring Boot 預設為我們提供了靜態資源處理,使用 WebMvcAutoConfiguration 中

spring boot 攔截中無法注入serivce

摘要 最近在專案中用攔截器去攔截使用者操作,並對操作日誌進行記錄, 在攔截器中記錄日誌時呼叫service 層 的save方法,發現service為null ,通過 @Autowired private LogService logService;這種方式無法注入;解決辦

SSM整合系列之 通過Mybatis攔截獲取SQL語句 實現SQL監控

摘要:Mybatis為我們提供了一個Interceptor介面,通過實現該介面就可以定義我們自己的攔截器,MyBatis攔截器介面提供的3個方法中,plugin方法用於某些處理器(Handler)的構建過程。interceptor方法用於處理代理類的執行。setProperties方法用

Spring -- 通過攔截使用註解方式校驗引數

public class OpenHandlerInterceptor extends HandlerInterceptorAdapter { private static final Logger LOGGER = Logger.getLogger(OpenHandlerInterceptor.c