本文介绍了如何利用Java字节码改写技术进行精确的安全拦截,以解决统一过滤规则导致的误拦截问题。通过在JVM启动时添加`-javaagent`参数,并开发拦截SDK,实现`ClassFileTransformer`接口来修改字节码。在SQL安全检测示例中,详细阐述了如何在`prepareStatement`方法中插入安全检测代码,确保只有安全的SQL语句才能执行。同时,提供了字节码改写调试方法,以确保代码注入的准确性。
XSS、SQL注入是WEB安全防御的基本点,一些系统常常会使用WEB Filter过滤器技术进行特征字符检测与过滤,但是存在拦截规则过于统一,一些个性化的业务被错误拦截的情况。基于字节码改写技术的拦截,能够精确做到方法级别、针对具体的内容进行定向的检测与拦截。以SQL安全检测为例,描述java字节码的能力。
java字节码拦截技术使用jvm新参数-javaagent,在jvm虚拟机启动项中加入-javaagent:agent.jar。
-javaagent
开发agent.jar拦截sdk
新增Agen java类,加入premain默认的方法并实现。导出为agent.jar.要求manifest文件加入
Premain-Class: securit
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
