WEB漏洞的修复

public HashMap test(String value){
  int ab=-1; 
  HashMap<String,String> map =new HashMap<String,String>();
  String []arr=new String[]{"</script","<iframe","</iframe","<frame","</frame","set-cookie",              
  "%3cscript","%3c/script","%3ciframe","%3c/iframe","%3cframe","%3c/frame",           
  "src=\"javascript:","<body","</body","%3cbody","%3c/body","<",">","</","/>",             
  "%3c","%3e","%3c/","/%3e","javascript:"};
  for(int i=0;i<arr.length;i++){
     String  ar=arr[i];
     if(!(value==null||value.trim().equals(""))){
     ab=value.toLowerCase().indexOf(ar.toLowerCase());    
   
     if(ab>0){
      value = value.replaceAll( "<", "&lt;" );
      value = value.replaceAll( ">", "&gt;" );
      value = value.replaceAll( "\"", "&quot;" );
      value = value.replaceAll( "‘", "‘" );
      value = value.replaceAll( " ", "&nbsp;" );
      value = value.replaceAll( "&", "&amp;" );  
      map.put("ab", ab+"");
      map.put("value", value);
      return map;
      }
     }
  }
  if(!(value==null||value.trim().equals(""))){
     value = value.replaceAll( "<", "&lt;" );
     value = value.replaceAll( ">", "&gt;" );
     value = value.replaceAll( "\"", "&quot;" );
     value = value.replaceAll( "‘", "‘" );
     value = value.replaceAll( " ", "&nbsp;" );
     value = value.replaceAll( "&", "&amp;" );   }  
     map.put("ab", ab+"");
     map.put("value", value);
     return map;
 }

时间: 05-27

WEB漏洞的修复的相关文章

水平权限漏洞的修复方案

水平权限漏洞一般出现在一个用户对象关联多个其他对象(订单.地址等).并且要实现对关联对象的CRUD的时候.开发容易习惯性的在生成CRUD表单(或AJAX请求)的时候根据认证过的用户身份来找出其有权限的被操作对象id,提供入口,然后让用户提交请求,并根据这个id来操作相关对象.在处理CRUD请求时,往往默认只有有权限的用户才能得到入口,进而才能操作相关对象,因此就不再校验权限了.可悲剧的是大多数对象的ID都被设置为自增整型,所以攻击者只要对相关id加1.减1.直至遍历,就可以操作其他用户所关联的对

WEB扫描技术--awvs扫描器扫描web漏洞

[实验目的] 1.了解AWVS--Web漏洞扫描工具 2.学习AWVS的用法 [实验原理] AWVS(Acunetix Web Vulnerability Scanner)简介 WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序.适用于任何中小型和大型企业的内联网.外延网和面向客户.雇员.厂商和其它人员的Web网站.WVS可以通过检查SQL注入攻击漏

常见web漏洞

常见的web漏洞——文件上传漏洞 一.文件上传漏洞概述    文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力.这种攻击方式是最为直接和有效的,有时候几乎没有什么技术门槛. “文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理.解释文件.如果服务器的处理逻辑做的不够安全,则会导致严重的后果.文件上传后导致的常见安全问题一般有:1)上传文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行.2)上传文件是Flash的策

黑客攻防技术宝典Web实战篇(二)工具篇DVWA Web漏洞学习

DVWA是一个学习Web漏洞的很好的工具. DVWA全程是Damn Vulnerable Web Application,还有一个跟它一样好的工具尽在http://www.360doc.com/content/13/0614/22/11029609_292922372.shtml 下载地址:http://www.dvwa.co.uk/ 安装教程:http://www.cnblogs.com/yaochc/p/5049832.html 声明:下面的示例都是在DVWA Security为Low时发生

Web漏洞扫描器-UNISCAN 6.2发布

UNISCAN是老外写的一款基于Perl编写的web漏洞扫描器,目前版本为6.2. UNISCAN特点: 通过爬虫识别网站页面多线程可控制线程的最大数量可控制爬虫爬取的页面可忽略指定文件扩展名可设置GET.POST方式支持SSL支持代理支持google搜索的站点列表支持bing搜索的站点列表支持扩展插件(动态测试.静态测试.压力测试)多语言支持支持GUI界面目录检查,类似wwwscan,可发现隐藏的目录检查robots.txt文件 下载地址:点击下载UNISCAN 6.2 转载文章请注明,转载自

各种Web漏洞测试平台

Sqli Lab?支持报错注入.二次注入.盲注.Update注入.Insert注入.Http头部注入.二次注入练习等.支持GET和POST两种方式. https://github.com/Audi-1/sqli-labs DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序.包含了SQL注入.XSS.盲注等常见的一些安全漏洞.http://www.dvwa.co.uk/ mutilli

NTP服务一大波安全漏洞已修复,请尽快升级

据US-CERT披露,最近在ntpd服务中发现了大量安全缺陷,ntpd是网络时间协议NTP的服务进程,绝大多数的服务器和各种设备都采用它来处理时间相关的任务. 虽然有多种NTP的服务进程,但是我们一般说的都是指NTP.org的ntpd服务进程,它也是大部分服务器和设备所用的版本.在今年的一月和四月它分别修复了两大批安全漏洞. 据Cisco说,一些漏洞会导致DoS攻击或者直接跳过认证过程,Cisco是负责推动对NTP进行安全评估的Linux基金会核心基础架构计划Linux Foundation C

Linux 曝出重大bash安全漏洞及修复方法

日前Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271  ),黑客可以利用该Bash漏洞完全控制目标系统并发起攻击. 已确认被成功利用的软件及系统:所有安装GNU bash 版本小于或者等于4.3的Linux操作系统. 该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行. 漏洞检测方法: env x='() { :;}; e

Debian7离线升级bash漏洞—然后修复方法

### 昨天还说的传说要又一次出补丁,今天就都出来了.基本操作一致就是測试结果不一样.继续修复 Debian7 wheezy版本号的bash漏洞,例如以下操作: 1.測试是否须要升级 # env x='() { :;}; echo vulnerable' bash -c "echo this is a test"   #显演示样例如以下,须要升级 vulnerable this is a test 2.离线升级 ### 好多server不能出外网,仅仅能下载了升级了 # wget ht