public HashMap test(String value){
int ab=-1;
HashMap<String,String> map =new HashMap<String,String>();
String []arr=new String[]{"</script","<iframe","</iframe","<frame","</frame","set-cookie",
"%3cscript","%3c/script","%3ciframe","%3c/iframe","%3cframe","%3c/frame",
"src=\"javascript:","<body","</body","%3cbody","%3c/body","<",">","</","/>",
"%3c","%3e","%3c/","/%3e","javascript:"};
for(int i=0;i<arr.length;i++){
String ar=arr[i];
if(!(value==null||value.trim().equals(""))){
ab=value.toLowerCase().indexOf(ar.toLowerCase());
if(ab>0){
value = value.replaceAll( "<", "<" );
value = value.replaceAll( ">", ">" );
value = value.replaceAll( "\"", """ );
value = value.replaceAll( "‘", "‘" );
value = value.replaceAll( " ", " " );
value = value.replaceAll( "&", "&" );
map.put("ab", ab+"");
map.put("value", value);
return map;
}
}
}
if(!(value==null||value.trim().equals(""))){
value = value.replaceAll( "<", "<" );
value = value.replaceAll( ">", ">" );
value = value.replaceAll( "\"", """ );
value = value.replaceAll( "‘", "‘" );
value = value.replaceAll( " ", " " );
value = value.replaceAll( "&", "&" ); }
map.put("ab", ab+"");
map.put("value", value);
return map;
}
WEB漏洞的修复
时间: 2024-08-25 22:01:23
WEB漏洞的修复的相关文章
Web常见漏洞及修复建议
1.SQL注入 漏洞描述 Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据.下载数据.写入webshell.执行系统命令以及绕过登录限制等. 修复建议 代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量. (1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中.所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入
水平权限漏洞的修复方案
水平权限漏洞一般出现在一个用户对象关联多个其他对象(订单.地址等).并且要实现对关联对象的CRUD的时候.开发容易习惯性的在生成CRUD表单(或AJAX请求)的时候根据认证过的用户身份来找出其有权限的被操作对象id,提供入口,然后让用户提交请求,并根据这个id来操作相关对象.在处理CRUD请求时,往往默认只有有权限的用户才能得到入口,进而才能操作相关对象,因此就不再校验权限了.可悲剧的是大多数对象的ID都被设置为自增整型,所以攻击者只要对相关id加1.减1.直至遍历,就可以操作其他用户所关联的对
Windows Server中的IIS漏洞以及修复方法
Windows Server中的IIS漏洞以及修复方法 我可以有把握地说,对于Windows服务器管理员来说普遍的目标是拥有适当弹性的系统.世界上有很多网络安全威胁,你最不希望发生的是在世界的另一头,或者在你的组织内部有人利用了IIS或者Windows的漏洞,而这一切都是本来可以避免的. 你可能无法触及应用层面的漏洞,但是在服务器层面你有很多事情可以做到使基于IIS的系统更加安全.通过回顾我多年的网站安全评估项目,可以指出以下最影响Windows服务器的IIS漏洞. 未处理异常(HTTP 500
渗透测试必知必会—Web漏洞
https://as.h5con.cn/articles/129985?spm=cnblog 0x00前言 本文为对WEB漏洞研究系列的开篇,日后会针对这些漏洞一一研究,敬请期待 0x01 目录 0x00 前言 0x01 目录 0x02 OWASP TOP10 简单介绍 0x03 乌云TOP 10 简单介绍 0x04 非主流的WEB漏洞 0x02 OWASP TOP10 简单介绍 除了OWASP的TOP10,Web安全漏洞还有很多很多,在做测试和加固系统时也不能老盯着TOP10,实际上是TOP1
struts2漏洞与修复
步骤: 1.下载struts-2.3.16.3-all, D:\TEST\struts2.3.16.3 2.替换jar,参考 http://blog.csdn.net/spyjava/article/details/13766335 3.修改web.xml <filter> <filter-name>struts2</filter-name> <filter-class>org.apache.struts2.dispa
常用的主流WEB漏洞,EXP合集
启航企业建站系统 cookie注入漏洞通杀所有版本 直接上exploit:javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));test:http://www.hackernc.com/system/xitong/shownews.asp?id=210-----------------
大金分享常用的主流WEB漏洞,EXP合集
启航企业建站系统 cookie注入漏洞通杀所有版本 直接上exploit:javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));test:http://www.33ddos.com/system/xitong/shownews.asp?id=210-------------------
超级Web漏洞扫描器
程序使用需要安装.NET Framework 4.0 一款基于C#的Web漏洞扫描器,目前处于开发阶段,目前只有目录扫描功能. 目前采用字典扫描模式,在a5站长和pudn将Web类代码目录爬下来,以及其他地方收集到一些字典,人工整理了一下.扫目录不错,不过有点多,稍微慢点.支持批量域名扫描,支持延时扫描对付防火墙. 快速扫描: 直接读取整个响应头的全部数据,速度比较快,缺点是无法对付404错误页面状态码也是200的情况. 关键字扫描: 直接读取整个响应头和响应主体的全部数据,因为404页面可能很
(转译)2019年WEB漏洞扫描工具和软件前十名推荐
这些工具都有助于发现漏洞,从而最大限度地提高测试人员的时间和效率.这些工具,2019年更新,也可用于寻找漏洞. 为何扫描? 这资源是什么? Web应用程序对黑客具有极大的吸引力,并且出于百万种不同的原因,尤其是因为当它们管理不当和未修补时,它们突然变得非常容易攻击.我们在这个资源中所做的就是列出一堆能够渗透并点击网站的Web应用程序黑客软件(例如).按优先顺序,我们注意到这些是当今最流行的内容管理系统. WordPress 28.6% Joomla 3.3% Drupal 2.3% Magnet