JavaWeb开发防止SQL、XSS注入

原創 GreenRookie 2020-07-07 07:16

SQL注入简介

SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。

SQL注入攻击实例

比如在一个登录界面,要求输入用户名和密码:

可以这样输入实现免帐号登录:

用户名: ‘or 1 = 1 –

密 码:

点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

这是为什么呢? 下面我们分析一下:

从理论上说,后台认证程序中会有如下的SQL语句:

String sql = "select * from user_table where username=

' "+userName+" ' and password=' "+password+" '";

当输入了上面的用户名和密码,上面的SQL语句变成:

SELECT * FROM user_table WHERE username=

'’or 1 = 1 -- and password='’

分析SQL语句:

条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功;

然后后面加两个-,这意味着注释,它将后面的语句注释,让他们不起作用,这样语句永远都能正确执行,用户轻易骗过系统,获取合法身份。

这还是比较温柔的,如果是执行

SELECT * FROM user_table WHERE

username='' ;DROP DATABASE (DB Name) --' and password=''

….其后果可想而知…

应对方法

1、配置web.xml


 <!--过滤XSS注入 -->
  <filter>
    <filter-name>XssEscape</filter-name>
    <filter-class>com.cm.contract.filter.XSSFilter.XssFilter</filter-class>
  </filter>
  
  <filter-mapping>
    <filter-name>XssEscape</filter-name>
  <url-pattern>/*</url-pattern>
  <dispatcher>REQUEST</dispatcher>
  </filter-mapping>
  <!--过滤SQL注入 -->
  <filter>  
     <filter-name>SqlFilter</filter-name>  
     <filter-class>com.cm.contract.filter.SQLFilter.SqlFilter</filter-class>  
   </filter>  
   <filter-mapping>  
       <filter-name>SqlFilter</filter-name>  
       <url-pattern>/*</url-pattern>  
   </filter-mapping>   


2、SqlFilter.java

package com.cm.contract.filter.SQLFilter;
import java.io.IOException;  
import java.util.Enumeration;  
import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;  
  
/** 
* 过滤sql关键字的Filter 
* @author FengArWei
 
*/  
public class SqlFilter implements Filter {  
  
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {  
  
        HttpServletRequest req = (HttpServletRequest) request;  
        HttpServletResponse res = (HttpServletResponse) response;  
        //获得所有请求参数名  
        @SuppressWarnings("rawtypes")
		Enumeration params = req.getParameterNames();  
  
        String sql = "";  
        while (params.hasMoreElements()) {  
            //得到参数名  
            String name = params.nextElement().toString();  
            //System.out.println("name===========================" + name + "--");  
            //得到参数对应值  
            String[] value = req.getParameterValues(name);  
            for (int i = 0; i < value.length; i++) {  
                sql = sql + value[i];  
            }  
        }  
        //System.out.println("============================SQL"+sql);  
        //有sql关键字,跳转到error.html  
        if (sqlValidate(sql)) {  
            res.sendRedirect("error.html");  
            //String ip = req.getRemoteAddr();  
        } else {  
            chain.doFilter(req, res);  
        }  
    }  
  
    //效验  
    protected static boolean sqlValidate(String str) {  
        str = str.toLowerCase();//统一转为小写  
        String badStr = "'|and|exec|execute|insert|create|drop|table|from|grant|use|group_concat|column_name|" +  
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +  
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加  
        String[] badStrs = badStr.split("|");  
        for (int i = 0; i < badStrs.length; i++) {  
            if (str.indexOf(badStrs[i]) !=-1) {  
                return true;  
            }  
        }  
        return false;  
    }  
  
    public void init(FilterConfig filterConfig) throws ServletException {  
        //throw new UnsupportedOperationException("Not supported yet.");  
    }  
  
    public void destroy() {  
        //throw new UnsupportedOperationException("Not supported yet.");  
    }  
}
3、XssFilter.java 

package com.cm.contract.filter.XSSFilter;

import java.io.IOException;  

import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
  
public class XssFilter implements Filter {  
      
    @Override  
    public void init(FilterConfig filterConfig) throws ServletException {  
    }  
  
    @Override  
    public void doFilter(ServletRequest request, ServletResponse response,  
            FilterChain chain) throws IOException, ServletException {  
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);  
    }  
  
    @Override  
    public void destroy() {  
    }  
}
4、XssHttpServletRequestWrapper.java 

package com.cm.contract.filter.XSSFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringEscapeUtils;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
  
    public XssHttpServletRequestWrapper(HttpServletRequest request) {  
        super(request);  
    }  
  
    @Override  
    public String getHeader(String name) {  
        return StringEscapeUtils.escapeHtml4(super.getHeader(name));  
    }  
  
    @Override  
    public String getQueryString() {  
        return StringEscapeUtils.escapeHtml4(super.getQueryString());  
    }  
  
    @Override  
    public String getParameter(String name) {  
        return StringEscapeUtils.escapeHtml4(super.getParameter(name));  
    }  
  
    @Override  
    public String[] getParameterValues(String name) {  
        String[] values = super.getParameterValues(name);  
        if(values != null) {  
            int length = values.length;  
            String[] escapseValues = new String[length];  
            for(int i = 0; i < length; i++){  
                escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);  
            }  
            return escapseValues;  
        }  
        return super.getParameterValues(name);  
    }  
      
}

总的说来,防范一般的SQL注入只要在代码规范上下点功夫就可以了。

凡涉及到执行的SQL中有变量时,用JDBC(或者其他数据持久层)提供的如:PreparedStatement就可以 ,切记不要用拼接字符串的方法就可以了





發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

sql注入学习第一篇---基础

SQL注入原理 SQL注入攻擊指的是通過構建特殊的輸入作爲參數傳入Web應用程序,而這些輸入大都是SQL語法裏的一些組合, 通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程序沒有細緻地過濾用戶輸入的數據,致使非法數據侵

行走在风中 2020-07-07 21:40:09

sql注入绕waf小Tips

因爲對上次比賽sql的題挺不甘心 所以又着重複習了一遍sql,並記錄了平常繞waf的點 手工bypass要點 先通過破壞關鍵字測試出攔截規則 之後進行鍼對性繞過 Mysql 前期詳解:傳送門 1.1、聯合注入 0x01 and繞過

想冲大厂的癞蛤蟆 2020-07-07 11:59:33

pikachu靶场之SQL注入

0x00 前言 手工注入忘的差不多了。。。還是需要多多練習 以下關卡都是稍微測以下存不存在sql注入,查下數據庫名啥的 沒有將所有字段都爆出來。 衝鴨~ 0x01 數字型注入(post) 因爲是數字型,直接在後面加上真命題,不需要

0nc3 2020-07-07 09:51:37

sql注入绕过

1、大小寫繞過 改變語句中單詞的大小寫即可,如:select=>SelEct 2、雙寫繞過 如下: ununionion seselectlect 3、內聯註釋繞過 內聯註釋就是把一些特有的僅在MYSQL上的語句放在 /!../

野九 2020-07-05 03:38:03

网络安全-sqlmap实战之sqlilabs-Less9

目錄   類型 -dbs枚舉數據庫 --tables枚舉數據庫表 --columns枚舉列 --dump枚舉數據 查看源代碼 類型 時間盲注-單引號 -dbs枚舉數據庫 使用-o參數優化,,--technique參數指定技術,--batc

lady_killer9 2020-07-04 12:44:44

齐博CMS变量覆盖导致sql注入漏洞分析

齊博CMS變量覆蓋導致sql注入漏洞分析 漏洞具體詳情見http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.AooULy&id=13。 1. 根據阿里文章會員中心評論管理member

xyw55 2020-07-04 03:53:24

DVWA-------SQLInjection(SQL注入)模块学习

文章目錄一,SQL注入的原理和過程概況(1)原理(2)分類(3)SQL注入的一般過程二,DVWA的SQL注入模塊學習(1)low安全模式(2)medium安全等級(3)high安全模式(4)Impossible安全級別三,URL編

冗长 2020-07-03 09:08:25

sql注入总结(1)--------分类和基础思路方法以及防护

文章目錄一,注入分類(1)基於從服務器接收到的響應(2)基於如何處理輸入的 SQL 查詢(數據類型)(3)基於程度和順序的注入(哪裏發生了影響)(4)基於注入點的位置上的二,注入思路和一般方法(0)常用的顯示信息的函數(0)用系統

冗长 2020-07-03 09:08:25

报表的 SQL 注入风险是什么意思?如何防范?

原文地址:http://c.raqsoft.com.cn/article/1591686285242?r=CGQ       啥是 SQL 注入風險? 數據庫要執行 SQL 訪問數據,數據庫是個執行機構,它只會檢查傳來的 SQL 是不是

数据分析师terry_chengq 2020-07-02 01:02:20

sql注入绕过的一些方法

1. 使用註釋,例如:     SELECT/*foo*/username,password/*foo*/FROM/*foo*/users     在MySQL中甚至可以在關鍵字中間插入註釋,例如SEL/*foo*/ECT usernam

二进制程序猿 2020-06-30 22:50:58

Sqlmap常用命令总结

簡單介紹下Sqlmap:它是一個自動化的SQL注入工具,其主要功能是掃描,發現並利用給定的URL的SQL注入漏洞。Sqlmap採用四種獨特的SQL注入技術,分別是盲推理SQL注入,UNION查詢SQL注入,堆查詢和基於時間的SQL

未完成的歌~ 2020-06-30 08:08:51

时间盲注详解 Sqli-labs(Less 9—10)

今天來總結下時間盲注的知識。 時間盲注和bool盲注是很像的,區別就是“參照物”不同,基於bool的盲注可以通過頁面的一些變化來進行判斷結果,但是有時候,執行一些sql語句的測試,頁面不會有像布爾盲注的時候直觀的變化,這個時候可以

未完成的歌~ 2020-06-30 08:08:51

基础sql注入漏洞

需要的工具 sqlmap 瀏覽器 判斷是否可以進行sql注入 發現登錄下面滾動的字可以點擊 在網站id=1後面拼接+1 看網頁是否有變化 發現網頁有了變化 說明可以進行sql注入 打開sqlmap命令行 輸入命名:sql

HeTuiPei 2020-06-30 00:28:45

SQL注入(mysql)总结小笔记

** 關於sql的個人總結筆記(有時間會擴展補充) ** 字符: 1‘ 1‘ or '1'=’1 1' and '1'='2 數字: 1 and 1=1 ;1 and 1=2 1 or 1=1 ;1 or 1=2 (如果

想冲大厂的癞蛤蟆 2020-06-29 22:20:01

报表工具的 SQL 植入sql注入风险及规避方法

原文鏈接:http://c.raqsoft.com.cn/article/1561683907950?r=CGQ     互聯網時代帶來方便的同時也帶來了安全隱患,各種安全問題可說是防不勝防,特別是大家日益關心的個人信息等方面,貌似很難有

数据分析师terry_chengq 2020-06-25 11:10:48