ESAPI——预防XSS攻击工具使用简介

最新推荐文章于 2024-06-24 15:25:03 发布
最新推荐文章于 2024-06-24 15:25:03 发布
阅读量1.5w 收藏 18
点赞数 5
分类专栏: IT相关 学习总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Julycaka/article/details/78467291
版权

XSS:跨站脚本攻击。原理是攻击者向有XSS漏洞的网站中输入恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

最常见的最经典的XSS bug语句<script>alert(/XSS/)</script> 比如在存在XSS bug的网站的输入框输入前面的语句,当访问网页时会弹出对话框。

...............

本篇文章主要针对最近使用过的防御XSS的小工具——ESAPI,使用的是maven项目;在pom.xml 中加入依赖:

<dependency>
            <groupId>org.owasp.esapi</groupId>
            <artifactId>esapi</artifactId>
            <version>2.1.0</version>
        </dependency>
	  <dependency>
            <groupId>org.jsoup</groupId>
            <artifactId>jsoup</artifactId>
            <version>1.7.3</version>
        </dependency>
在classpath下加入配置文件:validation.properties和ESAPI.properties

编写filter过滤器ManageSecurityFilter类实现 Filter接口,对所有后台请求使用filter过滤,在filter中将request中有隐患的关键字过滤掉。

import java.io.IOException;
import java.util.HashSet;
import java.util.Set;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * XSS安全过滤器
 *
 * @author wjl
 * @date 2014-4-10 下午2:12:02
 */
public class ManageSecurityFilter implements Filter {

	private static final String FILTER_APPLIED = ManageSecurityFilter.class.getName() + ".FILTERED";

	private Set<String> excludePathRegex = new HashSet<String>();

	public void setExcludePathRegex( Set<String> excludePathRegex ) {
		this.excludePathRegex = excludePathRegex;
	}

	@Override
	public void init( FilterConfig filterConfig ) throws ServletException {}

	@Override
	public void doFilter( ServletRequest request, ServletResponse response, FilterChain chain ) throws IOException, ServletException {
		if( !( request instanceof HttpServletRequest ) || !( response instanceof HttpServletResponse ) ) {
			throw new ServletException( "XSSFilter just supports HTTP requests" );
		}
		HttpServletRequest httpRequest = ( HttpServletRequest )request;
		String uri = httpRequest.getRequestURI();
		for( String regex : excludePathRegex ) {
			if( uri.matches( regex ) ) {
				chain.doFilter( request, response );
				return;
			}
		}
		// Apply Filter
		if( null != httpRequest.getAttribute( FILTER_APPLIED ) ) {
			chain.doFilter( request, response );
			return;
		}
		try {
			request.setAttribute( FILTER_APPLIED, Boolean.TRUE );
			SecurityRequestWrapper requestWrapper = new SecurityRequestWrapper( httpRequest );
			chain.doFilter( requestWrapper, response );
		} finally {
			httpRequest.removeAttribute( FILTER_APPLIED );
		}
	}

	@Override
	public void destroy() {}
}
在编写 使用了ESAPI的类SecurityRequestWrapper 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.jsoup.Jsoup;
import org.jsoup.nodes.Document.OutputSettings;
import org.jsoup.safety.Whitelist;
import org.owasp.esapi.ESAPI;

public class SecurityRequestWrapper extends HttpServletRequestWrapper {

	private final static Whitelist WHITELIST = Whitelist.relaxed();

	private final static OutputSettings OUTPUTSETTINGS = new OutputSettings().prettyPrint( false );

	static {
		WHITELIST.addTags( "embed", "object", "param", "span", "div", "img" );
		WHITELIST.addAttributes( ":all", "style", "class", "id", "name" );
		WHITELIST.addAttributes( "object", "width", "height", "classid", "codebase" );
		WHITELIST.addAttributes( "param", "name", "value" );
		WHITELIST.addAttributes( "embed", "src", "quality", "width", "height", "allowFullScreen",
				"allowScriptAccess", "flashvars", "name", "type", "pluginspage" );
	}

	public SecurityRequestWrapper( HttpServletRequest servletRequest ) {
		super( servletRequest );
	}

	@Override
	public String[] getParameterValues( String parameter ) {
		String[] values = super.getParameterValues( parameter );
		if( null == values ) {
			return null;
		}
		int count = values.length;
		String[] encodedValues = new String[ count ];
		for( int i = 0; i < count; i++ ) {
			encodedValues[ i ] = filterValue( values[ i ] );
		}
		return encodedValues;
	}

	@Override
	public String getParameter( String parameter ) {
		String value = super.getParameter( parameter );
		return filterValue( value );
	}

	@Override
	public String getHeader( String name ) {
		String value = super.getHeader( name );
		return filterValue( value );
	}

	private String filterValue( String value ) {
		if( null != value ) {
			// avoid encoded attacks.
			value = ESAPI.encoder().canonicalize( value );

			// Avoid null characters
			value = value.replaceAll( "\0", "" );
			value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
		    value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
		    value = value.replaceAll("'", "& #39;");
		    value = value.replaceAll("eval\\((.*)\\)", "");
		    value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
		    value = value.replaceAll("script", "");
			// Clean out HTML
			value = Jsoup.clean( value, "", WHITELIST, OUTPUTSETTINGS );
		}
		return value;
	}

}

配置web.xml文件,在web.xml文件中加入: 

<filter>
		<filter-name>manageSecurityFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>manageSecurityFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

配置spring配置文件,在servelt的配置文件中加入: 

<!-- Security的beans -->
	<bean id="manageSecurityFilter" class="com.baidu.disconf.web.security.ManageSecurityFilter">
		<property name="excludePathRegex">
			<set>
				<value>/console/compass/manage.*</value>
				<value>/console/coupon/.*</value>
				<value>/console/customize/block/.*</value>
				<value>/console/review/.*</value>
				<value>/console/ripple/.*</value>
				<value>/console/wdjcraw/.*</value>
				<value>/console/audit/reason/.*</value>
				<value>/console/audit/.*</value>
			</set>
		</property>
	</bean>







   



Julycaka
关注
  • 5
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何有效预防XSS?这几招管用
日拱一兵
06-30 7514
原文链接 预防XSS,这几招管用 最近重温了一下「黑客帝国」系列电影,一攻一防实属精彩,生活中我们可能很少有机会触及那么深入的网络安全问题,但工作中请别忽略你身边的精彩 大家应该都听过 XSS (Cross-site scripting) 攻击问题,或多或少会有一些了解,但貌似很少有人将这个问题放在心上。一部分人是存有侥幸心理:“谁会无聊攻击我们的网站呢?”;另一部分人可能是工作职责所在,很...
java%3c%3e如何转义_如何让前端更安全?——XSS 攻击和防御详解
weixin_42362491的博客
02-28 1196
最近深入了解了一下XSS攻击。以前总肤浅的认为XSS防御仅仅只是输入过滤可能造成的XSS而已。然而这池子水深的很呐。1,XSS的类型总体来说,XSS分三类,存储型XSS、反射型XSS、DOM-XSS。1.1、存储型XSS数据库中存有的存在XSS攻击的数据,返回给客户端。若数据未经过任何转义。被浏览器渲染。就可能导致XSS攻击;1.2、反射型XSS将用户输入的存在XSS攻击的数据,发送给后台,后台并...
SpringBoot +esapi 实现防止xss攻击
weixin_39811685的博客
11-25 3934
SpringBoot +esapi 实现防止xss攻击 maven 集成: <!-- 预防XSS攻击工具 --> <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <version>2.2.0.0</version>
Web安全中的XSS攻击详细教学(附通关教程)
最新发布
黑战士的博客
06-24 921
\1. 存储型XSS(持久型):攻击者将恶意脚本存储在目标服务器上,每当用户访问受感染的页面时,恶意脚本就会执行。\2. 反射型XSS(非持久型):攻击者诱使用户点击一个链接,该链接将恶意脚本作为输入传递给服务器,然后服务器将这个脚本反射回用户的浏览器执行。\3. DOM型(非持久型):XSS攻击的常见目标是盗取用户的cookie和其他敏感信息,这些信息可以用来进行会话劫持、身份冒充等进一步攻击。如何防御?\1. 输入验证:网站开发者需要对用户输入进行严格的验证和过滤,避免将不受信任的数据直接输出到HTML
Springboot结合ESAPI——配置XSS防御过滤
sx_huangying的博客
09-16 2515
本文链接:https://blog.csdn.net/jxwen1/article/details/83183632 本文来源与几篇优秀文章的整合,但整合后真实可用, 在此记录以便往后使用 文章地址:https://blog.csdn.net/frog4/article/details/81876462 https://blog.csdn.net/julycaka/article/details...
【应用安全之XSS一】XSS攻击测试以及防御
qq_35789269的博客
02-19 6490
跨站脚本攻击 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 攻击实例 下面为一个Input标签: <input type="text" value="value"></input> 当用输入值
前端安全攻防——XSS攻击和防御详解
weixin_34102807的博客
03-14 225
为什么80%的码农都做不了架构师?>>> ...
跨站脚本攻击(XSS
凉茶铺的博客
07-26 5978
XSS,为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是跨域的,所以叫"跨站脚本"。但是发展到今天,由于JavaScript的强大功能基于网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,XSS这个名字一直保留下来。(2)页面展示...
预防XSS,这几招管用!
码农小胖哥
01-07 1038
最近重温了一下「黑客帝国」系列电影,一攻一防甚是精彩,生活中我们可能很少有机会触及那么深入的网络安全问题,但工作中请别忽略你身边的精彩大家应该都听过 XSS (Cross-site sc...
如何让前端更安全?——XSS攻击和防御详解
wf2017的博客
02-17 1万+
web安全学习
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
以上就是使用SpringBoot和ESAPI防止XSS攻击的基本步骤。通过这些实践,你可以构建一个更加安全的Web应用,有效地防御XSS攻击。在实际开发中,还应关注其他安全方面,比如SQL注入、CSRF攻击等,同时遵循OWASP(开放...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
以上就是使用SpringBoot、ESAPI和springSecurity集成实现XSS防护的基本步骤。在实际项目中,你可能还需要根据具体需求进行调整,例如添加对JSON响应的编码、处理文件上传时的输入验证等。同时,不要忘记定期更新ES...
预防XSS攻击和SQL注入XssFilter
05-19
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是...
ESAPI使用方法
11-16
ESAPI入门使用例子,防XSS攻击,防SQL注入,过滤等等。
springboot 启动报错Field XXX required a bean of type XXX that could not be found.
热门推荐
旺仔牛奶的博客
06-08 16万+
今天自己搭建springboot项目,连接数据库,启动的时候发现报错,如下:Error starting ApplicationContext. To display the conditions report re-run your application with 'debug' enabled. 2018-06-08 14:28:58.065 ERROR 4656 --- [ ...
No valid Maven installation found. Either set the home directory in the configuration dialog 解决
旺仔牛奶的博客
10-19 10万+
IDEA 导入maven项目,报错No valid Maven installation found. Either set the home directory in the configuration dialog or set the M2_HOME environment variable on your system.。 clean和import就会报错。 原因: IDEA的m...
go: cannot use path@version syntax in GOPATH mode问题解决
旺仔牛奶的博客
05-13 2万+
go: cannot use path@version syntax in GOPATH mode问题解决问题:解决:需要开启 GO111MODULE,默认是 auto,原因: go mod作为官方的依赖管理工具,类似于maven这种本地缓存库的管理方式,其主要是通过GOPATH/pkg/mod下的缓存包来对工程进行构建。 问题: 执行go get github.com/golang/protobuf/protoc-gen-go@v1.3.2时报错 go get github.com/golang/prot
Failed to instantiate [java.util.List]: Specified class is an interface
旺仔牛奶的博客
09-25 1万+
错误信息提示: Failed to instantiate [java.util.List]: Specified class is an interface; 错误信息意思:参数错误,参数封装出了问题。 原因: 前端给后台传递了一个list对象,本来以为直接用list 可以接收,但是运行方法报错,参数错误。查询错误问题,发现是前端传递的对象,后台没有set,get的实体接收。 cont
如何使用esapi library防止反射型攻击
09-01
ESAPI(Enterprise Security API)库是一个开源的Java库,它提供了一套用于Web应用程序的安全功能,包括防止反射型攻击。以下是使用ESAPI库来防止反射型攻击的一些步骤和方法: 1. 输入校验:使用ESAPI提供的输入验证机制,对所有输入数据进行校验。这包括参数、表单输入、URL查询字符串等等,确保输入数据满足预期的格式和内容。 2. 输出编码:使用ESAPI的输出编码机制,将所有用户输入的数据进行适当的编码,以防止可能的XSS(跨站脚本攻击)和其他类型的反射型攻击。 3. 设定安全的HTTP响应头:使用ESAPI提供的安全响应头功能,能够将适当的安全头部信息添加到HTTP响应中,比如Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等头部。 4. 日志记录和错误处理:使用ESAPI的日志记录机制,记录潜在的攻击尝试和异常情况,以便进行后续的分析和调查。 5. 用户会话管理:使用ESAPI的会话管理功能,确保用户会话的安全性。这包括使用适当的会话标识符和会话超时策略,以减少会话劫持和会话固定攻击的风险。 6. 异常处理:使用ESAPI的异常处理机制,确保应用程序在遇到异常情况时能够正确地处理,以避免敏感信息泄露和其他攻击。 7. 更新和维护:定期更新ESAPI库到最新版本,以确保使用最新的安全修复和功能。 总之,使用ESAPI库是一种有效的方法来防止反射型攻击。通过输入校验、输出编码、设定安全的HTTP响应头、日志记录和错误处理、用户会话管理、异常处理等措施,可以大大增强Web应用程序的安全性。但需要注意的是,ESAPI只是一种工具,仍需要开发人员正确地使用和配置它,以最大程度地减少风险。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值