亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

appscan掃描出sql注入

appscan掃描出sql注入

慕的地6264312 2019-04-24 18:15:50
最近項目進行安全測試,用appscan掃描出sql注入,發現在參數后拼入%uFF07這類字符后,過濾器request.getParameterNames()就會有異常(但是捕獲不到這個異常),并且自動把帶%uFF07的參數key和value自動忽略,也就檢測不到有sql注入了,,,這樣有個解決方法是可以在過濾器中用request.getInputStream()來獲取IO流,即可檢測到%,,,但是又有一個問題:getParameterNames()和getInputStream()又不能共存使用,在過濾器中若用getInputStream(),則項目其他地方request.getParameter就會有問題,所以誰有好的辦法呢???就是圖片中這樣,過濾器request.getParameterName()就獲取不到"value"屬性和對應的值
查看完整描述

4 回答

?
GCT1015

TA貢獻1827條經驗 獲得超4個贊

Parameter [value] with value [1234%uFF07] has been ignored.說明處理參數的值的時候,忽略了。所以

查看完整回答
反對 回復 2019-05-16
?
Smart貓小萌

TA貢獻1911條經驗 獲得超7個贊

有個方法可以試一試,寫個類繼承javax.servlet.http.HttpServletRequestWrapper,重寫里面的方法,做轉義或者一些其他的操作,在過濾doFilter方法里面, XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request); 

查看完整回答
反對 回復 2019-05-16
?
函數式編程

TA貢獻1807條經驗 獲得超9個贊

public class RequestWrapper extends HttpServletRequestWrapper {
    HttpServletRequest orgRequest = null;

    public RequestWrapper(HttpServletRequest request) { 
        super(request); 
        orgRequest = request; 
    } 

   @Override
   public Map<String,String[]> getParameterMap() {
       Map<String,String[]> map = new LinkedHashMap();
       Map<String,String[]> parameters = super.getParameterMap();
       for (String key : parameters.keySet()) {
           System.out.println("getParameterMap---------得到的key:" + key);
           String[] values = parameters.get(key);
           for (int i = 0; i < values.length; i++) {
               values[i] = XssClean.xssClean(values[i]);
           }
           map.put(key, values);
       }
       return map;
   }

    @Override
    public Enumeration<String> getParameterNames() {
        Enumeration enumeration = super.getParameterNames();
        String attributeName = "";
        while (enumeration.hasMoreElements()) {
            attributeName = (String) enumeration.nextElement();
            getParameterValues(attributeName);
        }
        return enumeration;
    }

    @Override
   public String[] getParameterValues(String paramString){ 
     String[] arrayOfString1 = super.getParameterValues(paramString); 
     if (arrayOfString1 == null) {
         return null;
     }
     int i = arrayOfString1.length;
     String[] arrayOfString2 = new String[i]; 
     for (int j = 0; j < i; j++) {
         System.out.println("getParameterValues---------得到的key:" + arrayOfString1[j]);
         arrayOfString2[j] =XssClean.xssClean(arrayOfString1[j]);
     }
     return arrayOfString2;
   }

    @Override
   public String getParameter(String paramString){ 
     String str = super.getParameter(paramString); 
     if (str == null) {
         return null;
     }
     return XssClean.xssClean(str);
   } 

   public String getHeader(String paramString) { 
     String str = super.getHeader(paramString); 
     if (str == null) 
       return null; 
     return XssClean.xssClean(str); 
   }

   public String getQueryString() {
        String value = super.getQueryString();
        if (value != null) {
                value = XssClean.xssClean(value);
        }
        return value;
 }

還是運行上面那個有問題的sql注入的請求,輸出依舊沒有“value”

getParameterMap---------得到的key:id
getParameterMap---------得到的key:label
getParameterMap---------得到的key:type
getParameterMap---------得到的key:description
getParameterMap---------得到的key:sort
getParameterMap---------得到的key:remarks


查看完整回答
反對 回復 2019-05-16
  • 4 回答
  • 0 關注
  • 2939 瀏覽
慕課專欄
更多

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號