最近项目进行安全测试,用appscan扫描出sql注入,发现在参数后拼入%uFF07这类字符后,过滤器request.getParameterNames()就会有异常(但是捕获不到这个异常),并且自动把带%uFF07的参数key和value自动忽略,也就检测不到有sql注入了,,,这样有个解决方法是可以在过滤器中用request.getInputStream()来获取IO流,即可检测到%,,,但是又有一个问题:getParameterNames()和getInputStream()又不能共存使用,在过滤器中若用getInputStream(),则项目其他地方request.getParameter就会有问题,所以谁有好的办法呢???
就是图片中这样,过滤器request.getParameterName()就获取不到"value"属性和对应的值
appscan扫描出sql注入
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
3条回答 默认 最新
舍文 2019-01-18 13:59关注先问几个问题,你这个是POST方法嘛?后端用到了什么框架没有?比如springmvc
通过跟踪tomcat的日志,应该是在调用org.apache.tomcat.util.http.Parameters的processParameters方法时出现了异常。
以下是tomcat的日志:
org.apache.tomcat.util.http.Parameters processParameters
信息: Character decoding failed. Parameter [value] with value [1234%uFF07] has been ignored. Note that the name and value quoted here may be corrupted due to the failed decoding. Use debug level logging to see the original, non-corrupted values.1.如果缺失了value的值,这句sql执行的时候返回了500,应该在执行数据库操作之前对参数进行校验。具体的校验方法,你可以看看下面的文章。
https://jinnianshilongnian.iteye.com/blog/1733708- 至于防止sql注入攻击,不能采用拼接sql的方式来编写sql.
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报 分享
- 2019-01-18 11:24回答 3 已采纳 先问几个问题,你这个是POST方法嘛?后端用到了什么框架没有?比如springmvc 通过跟踪tomcat的日志,应该是在调用org.apache.tomcat.util.http.Parame
- 2022-06-17 10:49回答 1 已采纳 java(tomcat)如何设置cookie samesite属性_CowBoy1967的博客-CSDN博客_java设置samesite
- 2018-07-04 09:40回答 6 已采纳 这是因为你之前安装过一次这个软件(也可能是第一次没安装成功,你重新安装了一次),在第一次安装这个软件的时候写了注册表.解决这个问题的方法就是删除相应的注册表就行了.有的注册表杀毒软件就能找到,金山毒霸
- 2019-04-24 10:03yangzjchn的博客 客户使用IBM的安全漏洞扫描工具AppScan扫出来一堆问题,如SQL盲注、绑定 MongoDB NoSQL 注入、跨站点脚本编制、已解密的登录请求、跨站点请求伪造、链接注入(便于...防止常见XSS 过滤 SQL注入 JAVA过滤器filter ...
- 2021-12-27 15:24回答 1 已采纳 这种只能手工测试,或者你用绿盟的极光试试
- 2022-04-27 14:37回答 4 已采纳 哈哈。。题主可以哦。。敢直接放出来。。
- 2018-11-03 13:06回答 1 已采纳 按照http协议,浏览器在发网络请求时,会把当前页面的url带上发送给服务器端,referer字段表示该页面的请求来源。一般来说referer的作用有下面几种: 1. 防盗链,比如A网站上有一些图片
- 2023-03-08 16:35宇知安全的博客 SQL注入漏洞是Web常见的漏洞,通过此漏洞可能用来拖库、获取Web管理员账号和密码、权限提升等攻击,是Web安全中最严重的漏洞之一,也是OWASP TOP 10长期霸榜前三的漏洞。
- 2016-11-05 04:09回答 1 已采纳 已解决:楼主只是找了一个源然后更新了一下就好了呢=-=,看来是我多虑了
- 2015-09-06 14:41回答 2 已采纳 http://www.techienote.com/weak-ciphers-in-weblogic-application-server/
- 2022-12-20 19:25poggioxay的博客 它结合使用自动和手动测试技术来识别漏洞,例如跨站点脚本 (XSS)、SQL 注入和不安全的文件上传等。AppScan 可用于在开发生命周期的不同阶段扫描 Web 应用程序,包括设计、开发和测试阶段。它还可用于对生产 Web 应用...
- 2018-07-11 11:10lujiatao2的博客 SQL注入测试总结本文以MySQL数据库为例,其它数据库仅供参考。1 黑盒测试1.1 手工测试Web应用的主要注入点有:① POST请求体中的参数② GET请求头URL中的参数③ Cookie1.1.1 内联注入1、字符串内联注入测试字符串...
- 2021-05-09 21:34EdwardMaxx的博客 获得页面之后使用SQL注入原理进行测试是否存在注入点一级跨站脚本攻击可能,同时对cookie、session、会话周期等web安全漏洞进行检测。AppScan功能强大。支持登录功能、报表、详细漏洞原理、修改建议、手动验证等功能...
- 2018-10-11 18:59smile in spring的博客 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全...
- 2018-12-06 17:59weixin_子不语的博客 一、SQL 盲注(SQL注入) 1、 过滤特殊字符 2、使用预编译,不要拼接sql 3、对sql执行部分异常进行捕获,不要抛出不同的异常,以免被推测有漏洞 4、可能appscan误报 误报解决: (1)、把错误的页面单独反复测试 ...
- 2022-02-18 15:44夜行者~的博客 SQL注入漏洞就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令。 SQL注入漏洞产生需要满足两个条件: 1)参数用户可控:前端传给后端的参数内容是用户...
- 2019-09-26 11:32平子真子_的博客 AppScan安全扫描记录遇到的一些问题sql注入&跨站点脚本编制&通过框架钓鱼&链接注入(便于跨站请求伪造)缺少跨帧脚本编制防御 X-Frame-Options缺少“Content-Security-Policy”头缺少 ...
- 2021-12-23 19:54宇宙超级无敌小帅月�的博客 本文中使用OWASP的owasp-java-html-sanitizer组件,通过Sanitizer(消毒)从而达到避免SQL注入和XSS攻击的效果。 注意事项 使用该组件进行消毒后,如"><alert(1)>“此字符串会被直接干掉,结果为”&#gt...
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 如何在scanpy上做差异基因和通路富集?
- ¥20 关于#硬件工程#的问题,请各位专家解答!
- ¥15 关于#matlab#的问题:期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707,使系统具有较小的超调量
- ¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
- ¥30 截图中的mathematics程序转换成matlab
- ¥15 动力学代码报错,维度不匹配
- ¥15 Power query添加列问题
- ¥50 Kubernetes&Fission&Eleasticsearch
- ¥15 報錯:Person is not mapped,如何解決?
- ¥15 c++头文件不能识别CDialog