安全报告扫描现实有CRLF injection/HTTP response splitting问题,有大神帮忙解决下吗

yY930610 2017-11-30 04:28:36
在线等大神解答 谢谢
...全文
539 4 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
4 条回复
切换为时间正序
请发表友善的回复…
发表回复
陈阿曼_ 2018-06-20
  • 打赏
  • 举报
回复
//遇到同样的问题,通过java web filter 过滤特定字符解决此问题,同时也过滤掉SQL注入,XSS 相关的特定敏感字符
陈阿曼_ 2018-06-20
  • 打赏
  • 举报
回复
//遇到同样的问题,通过java web filter 过滤特定字符解决此问题,同时也过滤掉SQL注入,XSS 相关的特定敏感字符
// 获取请求所有参数,校验防止SQL注入,防止XSS漏洞
Enumeration<?> params = req.getParameterNames();
String paramN = null;
while (params.hasMoreElements()) {
paramN = (String) params.nextElement();
paramN = new String(URLDecoder.decode(paramN,"iso8859-1").getBytes("iso8859-1"),"gbk");
//此处应对Unicode转码问题,测试环境未发现此问题,防止正式环境出现此问题
if(isSpecialChar(paramN) || isChineseByBlock(paramN)){
errorResponse(response, paramN);
return;
}


String paramVale = req.getParameter(paramN);
if (!paramN.toLowerCase().contains("password")) {
logger.info(paramN + "==" + paramVale);
}
if (isNoticeUrl) {
paramVale = xssEncode(paramVale);
}
// 校验是否存在SQL注入信息
if (checkSQLInject(paramVale, url)) {
errorResponse(response, paramN);
return;
}
}
// arg2.doFilter(req, response);
arg2.doFilter(arg0, arg1);

陈阿曼_ 2018-06-20
  • 打赏
  • 举报
回复
//遇到同样的问题,通过java web filter 过滤特定字符解决此问题,同时也过滤掉SQL注入,XSS 相关的特定敏感字符
// 获取请求所有参数,校验防止SQL注入,防止XSS漏洞
Enumeration<?> params = req.getParameterNames();
String paramN = null;
while (params.hasMoreElements()) {
paramN = (String) params.nextElement();
paramN = new String(URLDecoder.decode(paramN,"iso8859-1").getBytes("iso8859-1"),"gbk");
//此处应对Unicode转码问题,测试环境未发现此问题,防止正式环境出现此问题
if(isSpecialChar(paramN) || isChineseByBlock(paramN)){
errorResponse(response, paramN);
return;
}


String paramVale = req.getParameter(paramN);
if (!paramN.toLowerCase().contains("password")) {
logger.info(paramN + "==" + paramVale);
}
if (isNoticeUrl) {
paramVale = xssEncode(paramVale);
}
// 校验是否存在SQL注入信息
if (checkSQLInject(paramVale, url)) {
errorResponse(response, paramN);
return;
}
}
// arg2.doFilter(req, response);
arg2.doFilter(arg0, arg1);

yY930610 2017-11-30
  • 打赏
  • 举报
回复
是发现 不是现实 打错字

67,550

社区成员

发帖
与我相关
我的任务
社区描述
J2EE只是Java企业应用。我们需要一个跨J2SE/WEB/EJB的微容器,保护我们的业务核心组件(中间件),以延续它的生命力,而不是依赖J2SE/J2EE版本。
社区管理员
  • Java EE
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧