工作记录7.26,xss、路径遍历、http截断
这周学习并搞出了常见的反射型和存储型xss过滤以及http截断。
xss
一种常见的方法是对字符串进行HTML 过滤。
msg=new HTMLFilter().filter(msg);
//注意:如果您的HTMLfilter 不支持对象,则需要先序列化,然后反序列化json。
//如果返回的对象是obj,则T obj
字符串json_str=JSON.toJSONString(obj)
json_str=新的HTMLFilter().filter(json_str);
T obj=(T)JSON.parseObject(json_str,obj.getClass())
返回对象
HTMLFilter的实现网上有很多,这里就不做额外的解释了。
路径遍历
攻击者可以提供如下输入:
/safe_dir/./important.dat
过滤路径字符串
导入org.apache.commons.io.FileUtils。
文件file=FileUtils.getFile(file_path);
SQL注入
将$ 替换为#。这很简单粗暴,但它解释了为什么对象受到SQL 注入的保护。
$(对象)
(目的)
#Worklog 7.26、xss、路径遍历、http截断、SQL注入相关内容以上来源网络信息仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/94047.html
