最近公司的项目在的安全检测,涉及到项目安全渗透等方面的问题;

参与项目的渗透等改造,是一个机遇与挑战,今后对与项目安全等方面会思考更多;

下面说说form表单对象提交,为了防止抓包,后台做的类型转化;一个简单的DEMO思路

1、数据库对象bean,属相与数据库中字段相同,有Integer,Boolean,Double等类型

2、form表单的对象formbean,所有属性都是String

3、将formbean的值赋值到bean对象,在赋值过程中对数据的安全性(类型转化的问题)进行判断,

form对象

 package february.week1.safe;
/**
* Description: form表单的数据类型
* @Package february.week1.safe
* @author BIQI IS BEST
* @date 2018年2月5日 上午10:38:33
*/
public class PersonForm { private String name; private String sex; private String age; private String phoneNumber; private String salary; public PersonForm(String name, String sex, String age, String phoneNumber, String salary) {
super();
this.name = name;
this.sex = sex;
this.age = age;
this.phoneNumber = phoneNumber;
this.salary = salary;
} public PersonForm() {
super();
} public String getName() {
return name;
} public void setName(String name) {
this.name = name;
} public String getSex() {
return sex;
} public void setSex(String sex) {
this.sex = sex;
} public String getAge() {
return age;
} public void setAge(String age) {
this.age = age;
} public String getPhoneNumber() {
return phoneNumber;
} public void setPhoneNumber(String phoneNumber) {
this.phoneNumber = phoneNumber;
} public String getSalary() {
return salary;
} public void setSalary(String salary) {
this.salary = salary;
} @Override
public String toString() {
return "PersonForm [name=" + name + ", sex=" + sex + ", age=" + age + ", phoneNumber=" + phoneNumber
+ ", salary=" + salary + "]";
} }

后台对象:

 package february.week1.safe;
/**
* Description: 后台类型
* @Package february.week1.safe
* @author BIQI IS BEST
* @date 2018年2月5日 上午10:38:33
*/
public class Person { private String name; private String sex; private Integer age; private String phoneNumber; private Double salary; public Person() {
super();
} public Person(String name, String sex, Integer age, String phoneNumber, Double salary) {
super();
this.name = name;
this.sex = sex;
this.age = age;
this.phoneNumber = phoneNumber;
this.salary = salary;
} public String getName() {
return name;
} public void setName(String name) {
this.name = name;
} public String getSex() {
return sex;
} public void setSex(String sex) {
this.sex = sex;
} public Integer getAge() {
return age;
} public void setAge(Integer age) {
this.age = age;
} public String getPhoneNumber() {
return phoneNumber;
} public void setPhoneNumber(String phoneNumber) {
this.phoneNumber = phoneNumber;
} public Double getSalary() {
return salary;
} public void setSalary(Double salary) {
this.salary = salary;
} @Override
public String toString() {
return "Person [name=" + name + ", sex=" + sex + ", age=" + age + ", phoneNumber=" + phoneNumber + ", salary="
+ salary + "]";
} }

测试的类:

 package february.week1.safe;
/**
* Description: 转化字段的属性,并且捕获异常
* form表单提交时候,数据类型不一致的问题,防止渗透
* @Package february.week1.safe
* @author BIQI IS BEST
* @date 2018年2月5日 上午10:38:33
*/ import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map; public class ChangeFilterType { public static void main(String[] args) {
PersonForm personForm = new PersonForm();
personForm.setName("10");
personForm.setSalary("1212123");
personForm.setAge("qwe");
Person person2 = new Person();
changeFilter(personForm,person2);
} private static boolean changeFilter(Object objectForm,Object object2){
Map<String, String> map = getObjectFiled(objectForm);
try {
putValueToBean(map,object2);
} catch (Exception e) {
System.out.println(e.toString());
}
System.out.println(object2.toString());
return false;
} /**
* Description: 获得属性的map,以及属性的值
* @param bean
* @return
* @author BIQI 2018年2月5日 下午2:22:31
* @return TreeMap<String,String> @throws
*/
private static Map<String, String> getObjectFiled(Object bean){
Map<String, String> map = new HashMap<>(30);
Field[] fields = bean.getClass().getDeclaredFields();
for(Field field:fields){
// System.out.println(field.getName());
// System.out.println(field.getType().toString());
// System.out.println(getFieldValueByName(field.getName(),bean));
map.put(field.getName(), (String) getFieldValueByName(field.getName(),bean));
}
return map;
} /**
* Description: 属性的值
* @param fieldName
* @param bean
* @return
* @author BIQI 2018年2月5日 上午11:23:15
* @return Object @throws
*/
private static Object getFieldValueByName(String fieldName, Object bean) {
try {
String firstLetter = fieldName.substring(0, 1).toUpperCase();
String getter = "get" + firstLetter + fieldName.substring(1);
Method method = bean.getClass().getMethod(getter, new Class[] {});
Object value = method.invoke(bean, new Object[] {});
return value;
} catch (Exception e) {
return null;
}
} /**
* Description: 属性的转化 值的传入
* @param treeMap
* @param bean
* @author BIQI 2018年2月5日 上午11:55:52
* @return void @throws
* @throws Exception
*/
public static void putValueToBean(Map<String, String> treeMap,Object bean) throws Exception{ Field[] fields = bean.getClass().getDeclaredFields();
// 属性的长度判断
if (fields.length!= treeMap.size()) {
System.out.println("转换的对象不对");
throw new Exception("转换的对象不对");
} for(Field field:fields){
String fieldName = field.getName();
String fieldValue = treeMap.get(fieldName);
String firstLetter = fieldName.substring(0, 1).toUpperCase();
String setter = "set" + firstLetter + fieldName.substring(1); Method method = bean.getClass().getMethod(setter, field.getType());
String type = field.getType().toString();
try {
if ("class java.lang.String".equals(type)) {
method.invoke(bean,fieldValue);
}
if ("class java.lang.Integer".equals(type)) {
if (null == fieldValue || "".equals(fieldValue)) {
method.invoke(bean,0);
continue;
}
Integer temp = Integer.valueOf(fieldValue);
method.invoke(bean,temp);
}
if ("class java.lang.Double".equals(type)) {
if (null == fieldValue || "".equals(fieldValue)) {
method.invoke(bean,0);
continue;
}
Double temp = Double.valueOf(fieldValue);
method.invoke(bean,temp);
}
//其他的类型if(....){}
} catch (Exception e) {
throw new Exception("转换("+bean.getClass().getName()+")的属性:"+fieldName+" 值"+fieldValue+" 出现问题");
}
}
} }

渗透测试,form对象类型转换,简单demo的更多相关文章

  1. RobotFrameWork接口报文测试-----(一)简单demo的实现

    最近几个月的工作任务都是通过使用RF工具来搭建服务器端接口的自动化测试,使用python作为2次开发的语言,也是第一次去做这种项目,经验善浅,还是很有可能会走很多的弯路,为此,我希望自己能把每个阶段的 ...

  2. 简单渗透测试流程演示(445端口、IPC$、灰鸽子)

    目录 一.实验流程 二.实验过程 2.1 信息收集 2.2 利用过程 2.3 暴力破解系统密码之445 2.4 通过木马留后门 一.实验流程 0.授权(对方同意被渗透测试才是合法的.)1.信息收集  ...

  3. xss之渗透测试

    跨站脚本攻击:cross site script execution(通常简写为xss,因css与层叠样式表同名,故改为xss),是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用 ...

  4. Python:渗透测试开源项目

    Python:渗透测试开源项目[源码值得精读] sql注入工具:sqlmap DNS安全监测:DNSRecon 暴力破解测试工具:patator XSS漏洞利用工具:XSSer Web服务器压力测试工 ...

  5. 渗透测试神器——Burp的使用

    公众号:白帽子左一 版本说明:Burp Suite2.1 下载地址: 链接:https://pan.baidu.com/s/1JPV8rRjzxCL-4ubj2HVsug 提取码:zkaq 使用环境: ...

  6. Spring的简单demo

    ---------------------------------------- 开发一个Spring的简单Demo,具体的步骤如下: 1.构造一个maven项目 2.在maven项目的pom.xml ...

  7. 从几个方向进行Web渗透测试

    渗透测试就是对系统安全性的测试,通过模拟恶意黑客的攻击方法,来评估系统安全的一种评估方法. 渗透测试可以包括各种形式的攻击,一般来说会有专门的公司提供这种服务,这里整理了几种常见的渗透测试方法,可以对 ...

  8. [TOP10]十大渗透测试演练系统

    本文总结了目前网络上比较流行的渗透测试演练系统,这些系统里面都提供了一些实际的安全漏洞,排名不分先后,各位安全测试人员可以亲身实践如何利用这个漏洞,同时也可以学习到漏洞的相关知识. DVWA (Dam ...

  9. JavaScript常用内置对象(window、document、form对象)

    由于刚开始学习B/S编程,下面对各种脚本语言有一个宏观的简单认识. 脚本语言(JavaScript,Vbscript,JScript等)介于HTML和C,C++,Java,C#等编程语言之间.它的优势 ...

随机推荐

  1. 基于input子系统的sensor驱动调试(二)

    继上一篇:http://www.cnblogs.com/linhaostudy/p/8303628.html#_label1_1 一.驱动流程解析: 1.模块加载: static struct of_ ...

  2. React-Native 学习笔记-Android开发平台-开发环境搭建

    详细步骤请查看官网对应文档,BUT,有些注意事项请注意! 1,优先安装Node.js,因为后面可以使用npm安装软件, 2,注意不要使用CNPM!!!!!!!!! 3,Android Studio 请 ...

  3. WebPack错误集

    webpack-dev-server跨域设置反向代理出现404错误 问题栈 分析解决 看到404后,再次看了下启动服务配置文件,估计是pathRewrite这个没起作用; //代理服务器 const ...

  4. js面向对象学习笔记(三):原型

    //原型:改写对象下面公用的方法或者属性,让公用的方法或者属性在内存中只存在一份(提高性能)//原型:prototype :要写在构造函数的下面var arr =[1,2,3,4,5];var arr ...

  5. [bzoj1717][Usaco2006 Dec]Milk Patterns 产奶的模式 (hash构造后缀数组,二分答案)

    以后似乎终于不用去学后缀数组的倍增搞法||DC3等blablaSXBK的方法了= = 定义(来自关于后缀数组的那篇国家集训队论文..) 后缀数组:后缀数组SA是一个一维数组,它保存1..n的某个排列S ...

  6. oracle存储过程的创建和使用

    创建存储过程: 格式:create or replace procedure procedure_name(参数 参数类型) Is/as 变量1 变量1的类型: begin ----------业务逻 ...

  7. Flask连接数据库打怪升级之旅

    一.前言 在初学 Flask 的时候,在数据库连接这部分也跟每个初学者一样.但是随着工作中项目接手的多了,代码写的多了,历练的多了也就有了自己的经验和技巧.在对这块儿代码不断的进行升级改造后,整理了在 ...

  8. JavaScript八张思维导图—基本语句

    JS基本概念 JS操作符 JS基本语句 JS数组用法 Date用法 JS字符串用法 JS编程风格 JS编程实践 不知不觉做前端已经五年多了,无论是从最初的jQuery还是现在火热的Angular,Vu ...

  9. PLSQL 注册码

    注册码:Product Code:4t46t6vydkvsxekkvf3fjnpzy5wbuhphqzserial Number:601769 password:xs374ca 本人版本 Versio ...

  10. wamp apache无法启动的解决方法

    作者 grunmin 2014.03.12 14:44* 字数 535 阅读 22167评论 9喜欢 5 如题,近日在安装wamp的时候出现了apache无法启动的情况.wamp图标一直显示橙色.网上 ...