安全报告扫描现实有CRLF injection/HTTP response splitting问题,有大神帮忙解决下吗

yY930610 2017-11-30 04:28:36
在线等大神解答 谢谢
...全文
249 4 点赞 打赏 收藏 举报
写回复
4 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
陈阿曼_ 2018-06-20
//遇到同样的问题,通过java web filter 过滤特定字符解决此问题,同时也过滤掉SQL注入,XSS 相关的特定敏感字符
  • 打赏
  • 举报
回复
陈阿曼_ 2018-06-20
//遇到同样的问题,通过java web filter 过滤特定字符解决此问题,同时也过滤掉SQL注入,XSS 相关的特定敏感字符
// 获取请求所有参数,校验防止SQL注入,防止XSS漏洞
Enumeration<?> params = req.getParameterNames();
String paramN = null;
while (params.hasMoreElements()) {
paramN = (String) params.nextElement();
paramN = new String(URLDecoder.decode(paramN,"iso8859-1").getBytes("iso8859-1"),"gbk");
//此处应对Unicode转码问题,测试环境未发现此问题,防止正式环境出现此问题
if(isSpecialChar(paramN) || isChineseByBlock(paramN)){
errorResponse(response, paramN);
return;
}


String paramVale = req.getParameter(paramN);
if (!paramN.toLowerCase().contains("password")) {
logger.info(paramN + "==" + paramVale);
}
if (isNoticeUrl) {
paramVale = xssEncode(paramVale);
}
// 校验是否存在SQL注入信息
if (checkSQLInject(paramVale, url)) {
errorResponse(response, paramN);
return;
}
}
// arg2.doFilter(req, response);
arg2.doFilter(arg0, arg1);

  • 打赏
  • 举报
回复
陈阿曼_ 2018-06-20
//遇到同样的问题,通过java web filter 过滤特定字符解决此问题,同时也过滤掉SQL注入,XSS 相关的特定敏感字符
// 获取请求所有参数,校验防止SQL注入,防止XSS漏洞
Enumeration<?> params = req.getParameterNames();
String paramN = null;
while (params.hasMoreElements()) {
paramN = (String) params.nextElement();
paramN = new String(URLDecoder.decode(paramN,"iso8859-1").getBytes("iso8859-1"),"gbk");
//此处应对Unicode转码问题,测试环境未发现此问题,防止正式环境出现此问题
if(isSpecialChar(paramN) || isChineseByBlock(paramN)){
errorResponse(response, paramN);
return;
}


String paramVale = req.getParameter(paramN);
if (!paramN.toLowerCase().contains("password")) {
logger.info(paramN + "==" + paramVale);
}
if (isNoticeUrl) {
paramVale = xssEncode(paramVale);
}
// 校验是否存在SQL注入信息
if (checkSQLInject(paramVale, url)) {
errorResponse(response, paramN);
return;
}
}
// arg2.doFilter(req, response);
arg2.doFilter(arg0, arg1);

  • 打赏
  • 举报
回复
yY930610 2017-11-30
是发现 不是现实 打错字
  • 打赏
  • 举报
回复
相关推荐
发帖
Java EE
加入

6.7w+

社区成员

J2EE只是Java企业应用。我们需要一个跨J2SE/WEB/EJB的微容器,保护我们的业务核心组件(中间件),以延续它的生命力,而不是依赖J2SE/J2EE版本。
申请成为版主
帖子事件
创建了帖子
2017-11-30 04:28
社区公告
暂无公告