起步软件技术论坛
搜索
 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 6765|回复: 8

[处理中3] 客户安全检测要求,严禁将后台错误信息传递到,如何处...

  [复制链接]

21

主题

44

帖子

140

积分

初级会员

Rank: 2

积分
140
QQ
发表于 2020-11-27 10:14:34 | 显示全部楼层 |阅读模式
最近我们连续3个国有企业客户对bex53.8系统进行了渗透测试,其中提出了严禁将后台错误详细信息传递到前台。我们修改了model\UI2\system\lib\base\error.js文件,并执行了BeX5_V3.8\tools\dist目录下的dist.bat文件,这个方法仅是解决了出错不进行弹窗显示,但是通过浏览器开发工具抓包还是有详细后台错误信息。客户安全检测厂家再次提出要求改造,如何设置不让后台错误详细信息传递。非常感谢!!!

21

主题

44

帖子

140

积分

初级会员

Rank: 2

积分
140
QQ
 楼主| 发表于 2020-11-27 10:17:19 | 显示全部楼层

安全检测意见

安全检测意见

错误信息

错误信息

2020-11-27_101409.png
回复 支持 反对

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
35878
发表于 2020-11-27 14:19:09 | 显示全部楼层
可以Businesserver中加一个filter,filter中获取返回错误的标识
如果是json的获取flag为false,如下
json1.png json2.png


然后设置message、messages和stack中的值

如果是xml返回格式的在root下有一个flag如下这样的?
<root>
     <flag>false</flag>
</root>


远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

997

主题

4326

帖子

1万

积分

论坛元老

Rank: 8Rank: 8

积分
10694
QQ
发表于 2020-11-27 21:09:42 | 显示全部楼层
关注
孤舟蓑笠翁,独钓寒江雪。
X5牛刀交流民间第一群:30057529
提供有偿服务,联系WX:18332024
bex5疑难问题解决方案
回复

使用道具 举报

21

主题

44

帖子

140

积分

初级会员

Rank: 2

积分
140
QQ
 楼主| 发表于 2020-11-28 14:21:33 | 显示全部楼层
@jishuang 非常感谢您针对问题的及时反馈,但是您的提的解决方案,在具体操作上,我还是不怎么会修改。是否方便把针对哪个文件,做哪些配置详细写一下。非常感谢!!!我的QQ:395370392
回复 支持 反对

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
35878
发表于 2020-11-30 09:59:02 | 显示全部楼层
BusinessServer就是一个web应用,web应用上自己添加一个filter,获取取response内容
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

997

主题

4326

帖子

1万

积分

论坛元老

Rank: 8Rank: 8

积分
10694
QQ
发表于 2020-11-30 10:02:10 | 显示全部楼层
本帖最后由 ecoolper 于 2020-11-30 10:04 编辑

参考这个帖子:https://www.cnblogs.com/yucongblog/p/9122409.html

https://www.cnblogs.com/maohuidong/p/10702085.html
孤舟蓑笠翁,独钓寒江雪。
X5牛刀交流民间第一群:30057529
提供有偿服务,联系WX:18332024
bex5疑难问题解决方案
回复 支持 反对

使用道具 举报

997

主题

4326

帖子

1万

积分

论坛元老

Rank: 8Rank: 8

积分
10694
QQ
发表于 2020-12-29 13:55:34 | 显示全部楼层
本帖最后由 ecoolper 于 2020-12-29 14:03 编辑

1、编写ResponseWrapper类
  1. package com.muyu.servlet;

  2. import java.io.IOException;
  3. import java.io.OutputStreamWriter;
  4. import java.io.PrintWriter;

  5. import javax.servlet.ServletOutputStream;
  6. import javax.servlet.http.HttpServletResponse;
  7. import javax.servlet.http.HttpServletResponseWrapper;

  8. import org.apache.catalina.ssi.ByteArrayServletOutputStream;

  9. public class ResponseWrapper extends HttpServletResponseWrapper {
  10.         private ByteArrayServletOutputStream byteArrayServletOutputStream;
  11.         private PrintWriter printWriter;

  12.         public ResponseWrapper(HttpServletResponse response) {
  13.                 super(response);
  14.                 byteArrayServletOutputStream =new ByteArrayServletOutputStream();
  15.         }

  16.         @Override
  17.         public ServletOutputStream getOutputStream() {
  18.                 return byteArrayServletOutputStream;
  19.         }

  20.         @Override
  21.         public PrintWriter getWriter() throws IOException {
  22.                 if(printWriter == null){
  23.                         printWriter =new PrintWriter(new OutputStreamWriter(byteArrayServletOutputStream, this.getCharacterEncoding()));
  24.                 }
  25.                 return printWriter;
  26.         }
  27.         
  28.         /**
  29.          * 获取response内容
  30.          * @return
  31.          */
  32.         public byte[] getContent() {
  33.                 return byteArrayServletOutputStream.toByteArray();
  34.         }

  35. }
复制代码
2、编写filter类(标准web代码),添加到UIServer中,在filter中处理错误信息
  1. package com.muyu.filter;

  2. import java.io.IOException;

  3. import javax.servlet.Filter;
  4. import javax.servlet.FilterChain;
  5. import javax.servlet.FilterConfig;
  6. import javax.servlet.ServletException;
  7. import javax.servlet.ServletRequest;
  8. import javax.servlet.ServletResponse;
  9. import javax.servlet.http.HttpServletResponse;

  10. import org.apache.log4j.Logger;

  11. import com.muyu.servlet.ResponseWrapper;

  12. public class BizErrorFilter implements Filter {
  13.         private static final Logger logger = Logger.getLogger(BizErrorFilter.class);

  14.         @Override
  15.         public void destroy() {
  16.                 logger.info("destroy-->");
  17.         }

  18.         @Override
  19.         public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
  20.                 logger.info("doFilter-->执行前--" + request.toString());

  21.                 ResponseWrapper responseWrapper = new ResponseWrapper((HttpServletResponse) response);
  22.                 filterChain.doFilter(request, responseWrapper);
  23.                
  24.                 String content = new String(responseWrapper.getContent(), responseWrapper.getCharacterEncoding());
  25.                 logger.info("content内容-->" + content);
  26.                 //处理content内容,然后再给response
  27.                 response.getOutputStream().write(responseWrapper.getContent());
  28.                
  29.                 logger.info("doFilter-->执行后--" + response.toString());
  30.         }

  31.         @Override
  32.         public void init(FilterConfig filterConfig) throws ServletException {
  33.                 logger.info("init-->");
  34.         }

  35. }
复制代码



孤舟蓑笠翁,独钓寒江雪。
X5牛刀交流民间第一群:30057529
提供有偿服务,联系WX:18332024
bex5疑难问题解决方案
回复 支持 反对

使用道具 举报

33

主题

373

帖子

914

积分

高级会员

Rank: 4

积分
914
QQ
发表于 2021-3-10 15:26:28 | 显示全部楼层
学习
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|X3技术论坛|Justep Inc.    

GMT+8, 2024-3-28 20:26 , Processed in 0.111169 second(s), 26 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表