033-安全开发-JavaEE应用&SQL预编译&Filter过滤器&Listener监听器&访问控制

这篇具有很好参考价值的文章主要介绍了033-安全开发-JavaEE应用&SQL预编译&Filter过滤器&Listener监听器&访问控制。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

033-安全开发-JavaEE应用&SQL预编译&Filter过滤器&Listener监听器&访问控制

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

#知识点:

1、JavaEE-JDBC-SQL预编译
2、JavaEE-HTTP-Filter过滤器
3、JavaEE-对象域-Listen监听器

演示案例:

➢JavaEE-预编译-SQL
➢JavaEE-过滤器-Filter
➢JavaEE-监听器-Listen

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

#JavaEE-预编译-SQL原理:

提前编译好执行逻辑,你注入的语句不会改变原有逻辑!

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

  1. 预编译写法: safesql 是一个预编译的 SQL 查询语句,其中 ? 是一个占位符,表示将在执行时动态替换。
  2. 使用 PreparedStatement PreparedStatementStatement 的子接口,用于执行预编译的 SQL 语句。通过调用 connection.prepareStatement(safesql) 创建一个 PreparedStatement 对象。
  3. 设置参数: 使用 setXXX 方法设置占位符的值。在这里,使用 setString(1, s) 将字符串 **s 的值设置到第一个占位符上及sql语句中的==?==。**这种方式防止了 SQL 注入攻击,因为参数值是通过预编译的方式传递的,而不是通过直接拼接字符串。
  4. 执行查询: 调用 executeQuery() 执行查询,得到 ResultSet 对象。
  5. 处理结果集: 根据业务需要,处理查询结果集的数据。
  6. 打印最终的预编译 SQL 语句(用于调试): System.out.println(safesql); 这行代码用于在控制台打印最终生成的预编译 SQL 语句。这对于调试时检查生成的 SQL 语句是否正确是有帮助的。
// 预编译写法
String safesql = "SELECT * FROM news WHERE id=?";

// 使用PreparedStatement
try (PreparedStatement preparedStatement = connection.prepareStatement(safesql)) {
    // 设置参数,防止SQL注入攻击
    preparedStatement.setString(1, s);

    // 执行查询
    ResultSet resultSet = preparedStatement.executeQuery();

    // 处理结果集...

    // 打印最终的预编译 SQL 语句(用于调试)
    System.out.println(safesql);
} catch (SQLException e) {
    e.printStackTrace();
}
  • 使用不安全写法,可以进行sql注入

    • select * from news where id=1: 这是一个正常的SQL查询,目的是从名为"news"的表中选择ID为1的记录。
    1. union: 这是SQL的关键字,用于合并两个查询的结果集。
    2. select 1,2,3,version(),user(),database(): 这是一个注入的查询,它返回了一些固定的值(1、2、3)以及数据库的版本信息(version())、当前用户(user())和当前数据库(database())的信息。

    通过将这两个查询合并,攻击者试图将恶意的查询注入到正常的查询中,从而获取数据库的敏感信息。这种类型的攻击被称为联合查询注入。

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

  • 使用预编译写法,固定sql语句的逻辑,防止进行sql注入

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

#JavaEE-过滤器-Filter

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

Filter被称为过滤器,过滤器实际上就是对Web资源进行拦截,做一些处理后再交给下一个过滤器或Servlet处理,通常都是用来拦截request进行处理的,也可以对返回的 response进行拦截处理。开发人员利用filter技术,可以实现对所有Web资源的管理,例如实现权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。

1、创建过滤器之前的准备

  • 创建新的项目FilterDemo1
  • 在对应的包名上,创建分类包filter与servlet
  • 在servlet下创建TestServlet ,并进行检测
  • 启动服务器,尝试进行Xss攻击,发现可以
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
    // 从请求中获取名为 "code" 的参数值
    String code = req.getParameter("code");

    // 获取用于将输出发送回客户端的 PrintWriter 对象
    PrintWriter out = resp.getWriter();

    // 将 "code" 参数的值打印到客户端
    out.println(code);

    // 刷新 PrintWriter,确保立即发送任何缓冲的内容
    out.flush();

    // 关闭 PrintWriter 以释放资源
    out.close();
}

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

localhost:8080/FilterDemo1_war_exploded/test?code=

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

2、创建过滤器

3、过滤器内置方法

  • 在对应的filter下创建XssFilter

  • 并实现Filter 接口中的所有方法

    • init doFilter destroy
    1. init(FilterConfig filterConfig):
      • 该方法在过滤器被初始化时调用,只会执行一次。
      • 用于执行一些初始化操作,例如获取配置信息等。
    2. doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain):
      • 这是过滤器的主要方法,在每次请求被过滤时都会调用。
      • doFilter 方法中的 filterChain.doFilter(request, response) 表示继续执行过滤器链,如果没有更多的过滤器,最终将调用目标资源(例如 Servlet 或 JSP)。
      • 如果在 doFilter 中不调用 filterChain.doFilter,则请求将被拦截,不会继续传递。
    3. destroy():
      • 该方法在过滤器被销毁时调用,只会执行一次。
      • 用于执行一些清理工作,释放资源等。
    @WebFilter("/test")
    public class XssFilter implements Filter {
    
        @Override
        **// 中间件启动后就自动运行**
        public void init(FilterConfig filterConfig) throws ServletException {
            System.out.println("xss开启过滤");
        }
    
        @Override
        **// 中间件关闭后就自动运行**
        public void destroy() {
            System.out.println("xss销毁过滤");
        }
    
        @Override
        **// doFilter 访问路由触发的方法**
        public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
            System.out.println("xss正在过滤");
    
            // 过滤代码就应该在放行前
            // 如果符合就放行,不符合就过滤(拦截)
    
            // XSS过滤 接受参数值 如果有攻击payload 就进行拦截
            // 接受参数值 如果没有攻击payload 就进行放行
            **HttpServletRequest request = (HttpServletRequest) servletRequest;
            String code = request.getParameter("code");
    
            if (!code.contains("<script>")) { // 没有攻击payload
                // 放行
                filterChain.doFilter(servletRequest, servletResponse);
            } else {
                System.out.println("存在XSS攻击");
                // 继续拦截
                // 这里可以根据需要添加拦截后的处理逻辑,例如记录日志、返回错误信息等**
            }
        }
    }
    

4、过滤器触发流程

@WebFilter("/test")
<filter>
<filter-name>xssFilter</filter-name>
<filter-class>com.example.filter.xssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>xssFilter</filter-name>
<url-pattern>/test</url-pattern>
</filter-mapping>

5、利用过滤器简单实现:cookie身份验证

  • 在servlet下创建AdminServlet,

    @WebServlet("/admin")
    public class AdminServlet extends HttpServlet {
        @Override
        protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
            System.out.println("欢迎进入管理员页面");
        }
    }
    

    安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

  • 在filter下创建AdminFileter

  • 先不加入判断获取到浏览器本身的cookie值

    安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

    安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

    @WebFilter("/admin")
    public class AdminFileter implements Filter{
        @Override
        // 过滤器初始化方法,在应用启动时执行
        public void init(FilterConfig filterConfig) throws ServletException {
            System.out.println("admin身份检测开启");
        }
    
        @Override
        // 过滤器销毁方法,在应用关闭时执行
        public void destroy() {
            System.out.println("admin身份检测销毁");
        }
    
        @Override
        // 过滤器核心逻辑,处理请求和响应
        public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    
            System.out.println("admin身份检测进行");
    
            // 检测Cookie过滤
            HttpServletRequest request = (HttpServletRequest) servletRequest;
            Cookie[] cookies = request.getCookies();
    
            // 对Cookie进行遍历获取
            for (Cookie c : cookies) {
                String cName = c.getName();    // 获取cookie名
                String cValue = c.getValue();  // 获取cookie值
                System.out.println(cName);
                System.out.println(cValue);
    
                filterChain.doFilter(servletRequest, servletResponse);
    		}
    	}
    }
    
    • 检查请求中是否包含名为 “user” 且值为 “admin” 的Cookie。如果符合条件,则放行请求;否则,输出 “非管理员访问”。

    • 相应进入管理员页面,必须先在浏览器中添加对应判断的cookie值

    • 如果对应不上则是非管理员访问,不予通过

      @Override
          // 过滤器核心逻辑,处理请求和响应
          public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
      
              System.out.println("admin身份检测进行");
      
              // 检测Cookie过滤
              HttpServletRequest request = (HttpServletRequest) servletRequest;
              Cookie[] cookies = request.getCookies();
      
              **// 对Cookie进行遍历获取
              for (Cookie c : cookies) {
                  String cName = c.getName();    // 获取cookie名
                  String cValue = c.getValue();  // 获取cookie值
                  System.out.println(cName);
                  System.out.println(cValue);
      
                  // 检查是否包含名为 "user" 且值为 "admin" 的Cookie
                  if (cName.contains("user") && cValue.contains("admin")) {
                      // 是管理员,放行请求**
      									filterChain.doFilter(servletRequest, servletResponse);
      
                  **} else {
                      System.out.println("非管理员访问");
                      // 非管理员,可以根据需求添加相应的处理逻辑,例如重定向到登录页等**
                  }
      
              }
          }
      

    安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

    安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

    安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

6、过滤器安全场景

开启过滤后,发现成功拦截Xss攻击

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

Payload检测,权限访问控制,红队内存马植入,蓝队清理内存马等
内存马参考:https://mp.weixin.qq.com/s/hev4G1FivLtqKjt0VhHKmw

#JavaEE-监听器-Listen

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

参考:https://blog.csdn.net/qq_52797170/article/details/124023760
监听ServletContext、HttpSession、ServletRequest等域对象创建和销毁事件
监听域对象的属性发生修改的事件
监听在事件发生前、发生后做一些必要的处理

1、创建监听器

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

  • 创建新的项目ListenDemo1

  • 在对应的包名上,创建分类包listenerr与servlet

  • 在servlet下创建CSession DSession,并进行检测

  • DSession一个简单的Servlet,对应一个/ds的URL映射。在收到GET请求时,它会销毁当前请求的HttpSession

    下面是对代码的注释:

    @WebServlet("/ds")
    public class DSession extends HttpServlet {
        @Override
        protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
            System.out.println("Servlet里面销毁Session");
    
            // 销毁Session
            req.getSession().invalidate();
        }
    }
    
    
    • @WebServlet("/ds"): 通过此注解,指定了Servlet的URL映射为 “/ds”。
    • System.out.println("Servlet里面销毁Session");: 打印一条日志,说明Servlet正在销毁Session。
    • req.getSession().invalidate();: 获取当前请求的HttpSession,并调invalidate()方法使其失效,从而销毁Session。这通常会导致用户在当前会话中的状态丢失,因为Session被销毁了。
  • 这段代码是一个简单的Servlet,对应一个 /cs 的URL映射。在收到GET请求时,它会创建一个新的HttpSession

    下面是对代码的注释:

    @WebServlet("/cs")
    public class CSession extends HttpServlet {
        @Override
        protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
            System.out.println("Servlet里面创建Session");
    
            // 创建Session
            req.getSession();
        }
    }
    
    • @WebServlet("/cs"): 通过此注解,指定了Servlet的URL映射为 “/cs”
    • System.out.println("Servlet里面创建Session");: 打印一条日志,说明Servlet正在创建Session。
    • req.getSession();: 获取当前请求的HttpSession,如果不存在**则会创建一个新的Session。**这通常会在应用程序需要使用会话状态时调用。

2、监听器内置方法

这段代码定义了一个实现 HttpSessionListener 接口的监听器类 ListenSession,用于监听HttpSession的创建和销毁事件。

下面是对代码的注释:

@WebListener
public class ListenSession implements HttpSessionListener {

    @Override
    public void sessionCreated(HttpSessionEvent se) {
        // 监听检测有Session创建就会执行这里
        System.out.println("监听器监听到了session创建");
    }

    @Override
    public void sessionDestroyed(HttpSessionEvent se) {
        // 监听检测有Session销毁就会执行这里
        System.out.println("监听器监听到了session销毁");
    }
}

  • @WebListener: 通过此注解,标记这是一个监听器类。
  • @Override 注解用于表示下面的方法是对接口中方法的重写。
  • public void sessionCreated(HttpSessionEvent se): 当有新的 HttpSession 被创建时,这个方法会被调用。在这里,它简单地输出一条日志表示监听器检测到了session的创建。
  • public void sessionDestroyed(HttpSessionEvent se): 当一个 HttpSession 被销毁时,这个方法会被调用。在这里,它简单地输出一条日志表示监听器检测到了session的销毁。

安全开发-javaee应用&sql预编译&filter过滤器&listener监听器&访问控制,安全,java-ee,sql

3、监听器触发流程

在Java Web应用中,监听器用于监控和响应特定的事件。对于监听器的触发流程,以下是一般的步骤:

@WebListener
<listener>
.......
</listener>
  1. 注册监听器:
    • 在Web应用中,你需要将监听器注册到相应的组件上。例如,在web.xml文件中配置监听器,或者使用注解(如@WebListener)标记监听器类。
  2. 事件发生:
    • 当与监听器关联的特定事件在Web应用中发生时,监听器会被触发。
  3. 调用监听器方法:
    • 监听器类中实现的相应方法(如sessionCreatedsessionDestroyed等)将被调用。这些方法包含与事件相关的信息,允许监听器执行特定的逻辑。
  4. 执行自定义逻辑:
    • 在监听器方法中,你可以编写自定义的逻辑以响应事件。这可能包括记录日志、修改数据、发送通知等。

举例来说,对于HttpSessionListener

  • 当一个新的HttpSession被创建时,sessionCreated方法将被调用。
  • 当一个HttpSession被销毁时,sessionDestroyed方法将被调用。

总的来说,监听器提供了一种在Web应用中对特定事件进行响应的机制,使开发者能够以声明性的方式处理应用的生命周期事件。

4、监听器安全场景

代码审计中分析执行逻辑触发操作,红队内存马植入,蓝队清理内存马等文章来源地址https://www.toymoban.com/news/detail-835547.html

到了这里,关于033-安全开发-JavaEE应用&SQL预编译&Filter过滤器&Listener监听器&访问控制的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • PHP伪协议filter详解,php://filter协议过滤器

    「作者主页」: 士别三日wyx 「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 php:// 用来访问输入和输出流(I/O streams)。 输入/输出流也就是 「数据流」

    2024年02月08日
    浏览(38)
  • Filter 过滤器

    Filter过滤器介绍 这里我们讲解Filter的执行流程,从下图可以大致了解到,当客户端发送请求的时候,会经过过滤器,然后才能到我们的servlet,当我们的servlet处理完请求之后,我们的response还是先经过过滤器才能到达我们的客户端,这里我们进行一个代码的演示,看看具体执

    2024年02月02日
    浏览(46)
  • 认识Filter(过滤器)

    Filter介绍 在计算机编程中,Filter(过滤器)是一种用于对数据流进行处理的软件组件。Filter 的作用是从输入流中获取数据,对其进行处理后再将其写入输出流中。Filter 组件通常用于数据校验、数据转换、数据压缩等方面,以及对网络通信进行处理。在 Web 开发中,Filter 是

    2024年02月02日
    浏览(47)
  • 过滤器Filter

    什么是Filter? Filter表示过滤器,是JavaWeb三大组件(Servlet、FIlter、Listener)之一。 过滤器可以把对资源的请求拦截下来,总而实现一些特殊的功能 使用过滤器后,要想访问web服务器上的资源,必须先经过过滤器,过滤器处理完毕后,才可以访问对应的资源。 过滤器一般完成

    2023年04月12日
    浏览(40)
  • java过滤器(Filter)

    原文链接: java过滤器(Filter – 编程屋 目录 1 过滤器简介 2 Filter详细介绍 3 Filter的用法 3.1 用法1  3.2 用法2 filter也称之为过滤器,它是javaWeb三大组件之一(Servlet程序、Listener监听器、Filter过滤器) 作用: 既可以对请求进行拦截,也可以对响应进行处理。 常见场景: 权限检

    2024年02月20日
    浏览(43)
  • [Java]过滤器(Filter)

    一、什么是过滤器 过滤器是Servlet的高级特性之一,是实现Filter接口的Java类! 过滤器的执行流程:   从上面的图我们可以发现,当浏览器发送请求给服务器的时候, 先执行过滤器,然后才访问Web的资源。服务器响应Response,从Web资源抵达浏览器之前,也会途径过滤器。 过滤

    2024年02月11日
    浏览(43)
  • SpringCloudGateway--过滤器(内置filter)

    目录 一、概览 二、内置过滤器 1、StripPrefix 2、AddRequestHeader 3、AddResponseHeader 4、DedupeResponseHeader 5、AddRequestParameter 6、CircuitBreaker 7、FallbackHeaders 8、RequestRateLimiter 9、RedirectTo 10、RemoveRequestHeader 11、RemoveResponseHeader 12、RemoveRequestParameter 13、RewritePath  14、RewriteResponseHeader  15、S

    2024年02月01日
    浏览(68)
  • JavaWeb 中 Filter过滤器

    @ 目录 Filter过滤器 每博一文案 1. Filter 过滤器的概述 2. Filter 过滤器的编写 3. Filter 过滤器的执行过程解析 3.1 Filter 过滤结合 Servlet 的使用 4. Filter 过滤器的拦截路径: 4.1 精确匹配路径 4.2 目录匹配 4.3 前后缀名路径匹配 4.4 所有路径匹配 5. 设置 Filter 执行顺序 6. Filter 过滤器中

    2024年02月03日
    浏览(52)
  • 布隆过滤器(Bloom Filter)

    通常我们会遇到很多要判断一个元素是否在某个集合中的业务场景,一般想到的是将集合中所有元素保存起来,然后通过比较确定。链表、树、散列表(又叫哈希表,Hash table)等等数据结构都是这种思路。但是随着集合中元素的增加,我们需要的存储空间也会呈现线性增长,

    2024年02月08日
    浏览(46)
  • gateway之过滤器(Filter)详解

    在Spring Cloud中,过滤器(Filter)是一种关键的组件,用于在微服务架构中处理和转换传入请求以及传出响应。过滤器位于服务网关或代理中,并通过拦截请求和响应流量来提供各种功能。 过滤器在请求的不同生命周期阶段执行特定的操作,例如鉴权、认证、请求转发、限流、

    2024年02月05日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包