用Appscan扫描java web应用,扫描出有sql盲注,
我用的是建了个测试工程,只有一个jsp页面,页面上只有两个参数可提交title和desc
Appscan扫出了一个sql盲注,3个变体:
下面是它生成的攻击参数
title=1234&desc=1234+and+7659%3D7659
title=test&desc=1234%2F**%2Fand%2F**%2F7659%3D7659
title=test&desc=1234%27+and+%27foobar%27%3D%27foobar%27%29+--该怎么过滤呢,我把%27replaceAll成',+ replaceAll成+,可是它还是能检测出sql盲注来。
我用的是建了个测试工程,只有一个jsp页面,页面上只有两个参数可提交title和desc
Appscan扫出了一个sql盲注,3个变体:
下面是它生成的攻击参数
title=1234&desc=1234+and+7659%3D7659
title=test&desc=1234%2F**%2Fand%2F**%2F7659%3D7659
title=test&desc=1234%27+and+%27foobar%27%3D%27foobar%27%29+--该怎么过滤呢,我把%27replaceAll成',+ replaceAll成+,可是它还是能检测出sql盲注来。
解决方案 »
- 关于struts2转换编码问题,报错
- spring aop 切入点表达式问题
- 呃呵呵呵呵,
- 请问关于WEB-INF文件夹的位置
- 为什么在window.showModalDialog(...)即模式窗口提交一次数据后再调用javascript:history.back();却不能回退的?因为数据验证错误所以需
- 请问jsp连接Access的问题,换了个tomcat就不行了。
- flexigrid新增单击事件
- request.getParameter 与 request.getAttribute 的问题
- 如何实现“推荐给朋友”这个功能,即将文章发送到朋友的邮箱中。
- 请问大家文件upload的问题...
- 现在学习JAVA学的有点迷茫,有点没弄清方向!希望有大侠给个学习方向!
- 一个极菜的问题啊,求答案!急
public static String encodeBase64(String s) {
if (s == null)
return null;
return (new sun.misc.BASE64Encoder()).encode(s.getBytes());
}
/**
* 将base64编码的字符还原
*
* @param s
* @return
*/
public static String decodeBase64(String base64str) {
if (base64str == null)
return null;
sun.misc.BASE64Decoder decoder = new sun.misc.BASE64Decoder();
try {
byte[] b = decoder.decodeBuffer(base64str);
return new String(b);
} catch (Exception e) {
return null;
}
}
解码在哪啊,有没有公共的地方,如果要在每个接受参数的地方单独解码那好麻烦啊。