工作记录7.26,xss、路径遍历、http截断、sql注入

工作记录7.26,xss、路径遍历、http截断、sql注入工作记录7.26,xss、路径遍历、http截断
这周学习并解决了常见的反射型、存储型xss过滤,http截断。
xss
常见做法是对string

工作记录7.26,xss、路径遍历、http截断

这周学习并搞出了常见的反射型和存储型xss过滤以及http截断。

xss

一种常见的方法是对字符串进行HTML 过滤。

msg=new HTMLFilter().filter(msg);

//注意:如果您的HTMLfilter 不支持对象,则需要先序列化,然后反序列化json。

//如果返回的对象是obj,则T obj

字符串json_str=JSON.toJSONString(obj)

json_str=新的HTMLFilter().filter(json_str);

T obj=(T)JSON.parseObject(json_str,obj.getClass())

返回对象

HTMLFilter的实现网上有很多,这里就不做额外的解释了。

路径遍历

攻击者可以提供如下输入:

/safe_dir/./important.dat

过滤路径字符串

导入org.apache.commons.io.FileUtils。

文件file=FileUtils.getFile(file_path);

SQL注入

将$ 替换为#。这很简单粗暴,但它解释了为什么对象受到SQL 注入的保护。

$(对象)

(目的)

#Worklog 7.26、xss、路径遍历、http截断、SQL注入相关内容以上来源网络信息仅供参考。相关信息请参见官方公告。

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/94047.html

(0)
CSDN's avatarCSDN
上一篇 2024年7月26日 下午8:56
下一篇 2024年7月26日 下午8:56

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注