最近公司的项目在的安全检测,涉及到项目安全渗透等方面的问题;

参与项目的渗透等改造,是一个机遇与挑战,今后对与项目安全等方面会思考更多;

下面说说form表单对象提交,为了防止抓包,后台做的类型转化;一个简单的DEMO思路

1、数据库对象bean,属相与数据库中字段相同,有Integer,Boolean,Double等类型

2、form表单的对象formbean,所有属性都是String

3、将formbean的值赋值到bean对象,在赋值过程中对数据的安全性(类型转化的问题)进行判断,

form对象

 package february.week1.safe;

 /**

  * Description: form表单的数据类型

  * @Package february.week1.safe

  * @author  BIQI IS BEST

  * @date    2018年2月5日 上午10:38:33

  */

 public class PersonForm {

     private String name;

     private String sex;

     private String age;

     private String phoneNumber;

     private String salary;

     public PersonForm(String name, String sex, String age, String phoneNumber, String salary) {

         super();

         this.name = name;

         this.sex = sex;

         this.age = age;

         this.phoneNumber = phoneNumber;

         this.salary = salary;

     }

     public PersonForm() {

         super();

     }

     public String getName() {

         return name;

     }

     public void setName(String name) {

         this.name = name;

     }

     public String getSex() {

         return sex;

     }

     public void setSex(String sex) {

         this.sex = sex;

     }

     public String getAge() {

         return age;

     }

     public void setAge(String age) {

         this.age = age;

     }

     public String getPhoneNumber() {

         return phoneNumber;

     }

     public void setPhoneNumber(String phoneNumber) {

         this.phoneNumber = phoneNumber;

     }

     public String getSalary() {

         return salary;

     }

     public void setSalary(String salary) {

         this.salary = salary;

     }

     @Override

     public String toString() {

         return "PersonForm [name=" + name + ", sex=" + sex + ", age=" + age + ", phoneNumber=" + phoneNumber

                 + ", salary=" + salary + "]";

     }

 }

后台对象:

 package february.week1.safe;

 /**

  * Description: 后台类型

  * @Package february.week1.safe

  * @author  BIQI IS BEST

  * @date    2018年2月5日 上午10:38:33

  */

 public class Person {

     private String name;

     private String sex;

     private Integer age;

     private String phoneNumber;

     private Double salary;

     public Person() {

         super();

     }

     public Person(String name, String sex, Integer age, String phoneNumber, Double salary) {

         super();

         this.name = name;

         this.sex = sex;

         this.age = age;

         this.phoneNumber = phoneNumber;

         this.salary = salary;

     }

     public String getName() {

         return name;

     }

     public void setName(String name) {

         this.name = name;

     }

     public String getSex() {

         return sex;

     }

     public void setSex(String sex) {

         this.sex = sex;

     }

     public Integer getAge() {

         return age;

     }

     public void setAge(Integer age) {

         this.age = age;

     }

     public String getPhoneNumber() {

         return phoneNumber;

     }

     public void setPhoneNumber(String phoneNumber) {

         this.phoneNumber = phoneNumber;

     }

     public Double getSalary() {

         return salary;

     }

     public void setSalary(Double salary) {

         this.salary = salary;

     }

     @Override

     public String toString() {

         return "Person [name=" + name + ", sex=" + sex + ", age=" + age + ", phoneNumber=" + phoneNumber + ", salary="

                 + salary + "]";

     }

 }

测试的类:

 package february.week1.safe;

 /**

  * Description: 转化字段的属性,并且捕获异常

  *                 form表单提交时候,数据类型不一致的问题,防止渗透

  * @Package february.week1.safe

  * @author  BIQI IS BEST

  * @date    2018年2月5日 上午10:38:33

  */

 import java.lang.reflect.Field;

 import java.lang.reflect.Method;

 import java.util.HashMap;

 import java.util.Map;

 public class ChangeFilterType {

     public static void main(String[] args) {

         PersonForm personForm = new PersonForm();

         personForm.setName("10");

         personForm.setSalary("1212123");

         personForm.setAge("qwe");

         Person person2 = new Person();

         changeFilter(personForm,person2);

     }

     private static boolean changeFilter(Object objectForm,Object object2){

         Map<String, String> map = getObjectFiled(objectForm);

         try {

             putValueToBean(map,object2);

         } catch (Exception e) {

             System.out.println(e.toString());

         }

         System.out.println(object2.toString());

         return false;

     }

     /**

      * Description: 获得属性的map,以及属性的值

      * @param bean

      * @return

      * @author  BIQI 2018年2月5日 下午2:22:31

      * @return  TreeMap<String,String>  @throws

      */

     private static Map<String, String> getObjectFiled(Object bean){

         Map<String, String> map = new HashMap<>(30);

         Field[] fields = bean.getClass().getDeclaredFields();

           for(Field field:fields){

 //              System.out.println(field.getName());

 //              System.out.println(field.getType().toString());

 //              System.out.println(getFieldValueByName(field.getName(),bean));

               map.put(field.getName(), (String) getFieldValueByName(field.getName(),bean));

           }

         return map;

     }

     /**

      * Description: 属性的值

      * @param fieldName

      * @param bean

      * @return

      * @author  BIQI 2018年2月5日 上午11:23:15

      * @return  Object  @throws

      */

     private static Object getFieldValueByName(String fieldName, Object bean) {

            try {

                String firstLetter = fieldName.substring(0, 1).toUpperCase();

                String getter = "get" + firstLetter + fieldName.substring(1);

                Method method = bean.getClass().getMethod(getter, new Class[] {});

                Object value = method.invoke(bean, new Object[] {});

                return value;

            } catch (Exception e) {

                return null;

            }

        }   

     /**

      * Description: 属性的转化 值的传入

      * @param treeMap

      * @param bean

      * @author  BIQI 2018年2月5日 上午11:55:52

      * @return  void  @throws

      * @throws Exception

      */

     public static void putValueToBean(Map<String, String> treeMap,Object bean) throws Exception{

         Field[] fields = bean.getClass().getDeclaredFields();

         // 属性的长度判断

         if (fields.length!= treeMap.size()) {

             System.out.println("转换的对象不对");

             throw new Exception("转换的对象不对");

         }

         for(Field field:fields){

             String fieldName = field.getName();

             String fieldValue = treeMap.get(fieldName);

             String firstLetter = fieldName.substring(0, 1).toUpperCase();

             String setter = "set" + firstLetter + fieldName.substring(1);  

             Method method = bean.getClass().getMethod(setter, field.getType());

             String type = field.getType().toString();

             try {

                 if ("class java.lang.String".equals(type)) {

                     method.invoke(bean,fieldValue);

                 }

                 if ("class java.lang.Integer".equals(type)) {

                     if (null == fieldValue || "".equals(fieldValue)) {

                         method.invoke(bean,0);

                         continue;

                     }

                     Integer temp = Integer.valueOf(fieldValue);

                     method.invoke(bean,temp);

                 }

                 if ("class java.lang.Double".equals(type)) {

                     if (null == fieldValue || "".equals(fieldValue)) {

                         method.invoke(bean,0);

                         continue;

                     }

                     Double temp = Double.valueOf(fieldValue);

                     method.invoke(bean,temp);

                 }

                 //其他的类型if(....){}

             } catch (Exception e) {

                 throw new Exception("转换("+bean.getClass().getName()+")的属性:"+fieldName+" 值"+fieldValue+" 出现问题");

             }

         }

     }

 }

渗透测试,form对象类型转换,简单demo的更多相关文章

  1. RobotFrameWork接口报文测试-----(一)简单demo的实现

    最近几个月的工作任务都是通过使用RF工具来搭建服务器端接口的自动化测试,使用python作为2次开发的语言,也是第一次去做这种项目,经验善浅,还是很有可能会走很多的弯路,为此,我希望自己能把每个阶段的 ...

  2. 简单渗透测试流程演示(445端口、IPC$、灰鸽子)

    目录 一.实验流程 二.实验过程 2.1 信息收集 2.2 利用过程 2.3 暴力破解系统密码之445 2.4 通过木马留后门 一.实验流程 0.授权(对方同意被渗透测试才是合法的.)1.信息收集  ...

  3. xss之渗透测试

    跨站脚本攻击:cross site script execution(通常简写为xss,因css与层叠样式表同名,故改为xss),是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用 ...

  4. Python:渗透测试开源项目

    Python:渗透测试开源项目[源码值得精读] sql注入工具:sqlmap DNS安全监测:DNSRecon 暴力破解测试工具:patator XSS漏洞利用工具:XSSer Web服务器压力测试工 ...

  5. 渗透测试神器——Burp的使用

    公众号:白帽子左一 版本说明:Burp Suite2.1 下载地址: 链接:https://pan.baidu.com/s/1JPV8rRjzxCL-4ubj2HVsug 提取码:zkaq 使用环境: ...

  6. Spring的简单demo

    ---------------------------------------- 开发一个Spring的简单Demo,具体的步骤如下: 1.构造一个maven项目 2.在maven项目的pom.xml ...

  7. 从几个方向进行Web渗透测试

    渗透测试就是对系统安全性的测试,通过模拟恶意黑客的攻击方法,来评估系统安全的一种评估方法. 渗透测试可以包括各种形式的攻击,一般来说会有专门的公司提供这种服务,这里整理了几种常见的渗透测试方法,可以对 ...

  8. [TOP10]十大渗透测试演练系统

    本文总结了目前网络上比较流行的渗透测试演练系统,这些系统里面都提供了一些实际的安全漏洞,排名不分先后,各位安全测试人员可以亲身实践如何利用这个漏洞,同时也可以学习到漏洞的相关知识. DVWA (Dam ...

  9. JavaScript常用内置对象(window、document、form对象)

    由于刚开始学习B/S编程,下面对各种脚本语言有一个宏观的简单认识. 脚本语言(JavaScript,Vbscript,JScript等)介于HTML和C,C++,Java,C#等编程语言之间.它的优势 ...

随机推荐

  1. Zabbix实战-简易教程--低层次发现(LLD)

    一.概述 自动发现(LLD)提供了一种在为不同实体自动创建监控项,触发器和图形的方法.例如,Zabbix可以在你的机器上自动监控磁盘或网卡,而无需为每个磁盘或网卡手动创建监控项.(LLD) 此外,可以 ...

  2. Link-Cut-Trees

    填坑,填坑,填坑…… 开篇镇人品……下文的比喻仅供娱乐…… 为了迎接JSZX校内互测,我临时填坑学了LCT…… 怎么说呢……我也是懵懵懂懂地看了N篇博客,对着标程敲上一发代码,然后才慢慢理解.这里推荐 ...

  3. 洛谷 P1177 【模板】快速排序【13种排序模版】

    P1177 [模板]快速排序 题目描述 利用快速排序算法将读入的N个数从小到大排序后输出. 快速排序是信息学竞赛的必备算法之一.对于快速排序不是很了解的同学可以自行上网查询相关资料,掌握后独立完成.( ...

  4. Gym 100952I&&2015 HIAST Collegiate Programming Contest I. Mancala【模拟】

    I. Mancala time limit per test:3 seconds memory limit per test:256 megabytes input:standard input ou ...

  5. UESTC 1591 An easy problem A【线段树点更新裸题】

    An easy problem A Time Limit: 2000/1000MS (Java/Others)     Memory Limit: 65535/65535KB (Java/Others ...

  6. BZOJ 3670: [Noi2014]动物园【KMP变形 】

    3670: [Noi2014]动物园 Time Limit: 10 Sec  Memory Limit: 512 MBSubmit: 2738  Solved: 1475[Submit][Status ...

  7. B. Gerald is into Art

    B. Gerald is into Art time limit per test 2 seconds memory limit per test 256 megabytes input standa ...

  8. 如何在SecureCRT中给linux上传和下载文件 安装redis

    首先建立文件 /download sz和rz命令无法用.则用以下1.和2.3步骤   需要上传或者下载,需要使用rz和sz命令.如果linux上没有这两个命令工具,则需要先安装.可以使用yum安装.运 ...

  9. HDU 1068 Girls and Boys(模板——二分图最大匹配)

    题目链接: http://acm.hdu.edu.cn/showproblem.php?pid=1068 Problem Description the second year of the univ ...

  10. JQuery常用知识点及示例

    1.JQuery 名称解释 JQuery是封装了常用JS操作函数的一个库文件JQuery = Javascript + Query (查询)Jquery意思即指: 强大的DOM节点查询 2.官网:ht ...