XSS攻击是什么
利用漏洞通过注入恶意指令代码,使用户加载并执行代码达到攻击的目的。攻击的代码指令通常是JavaScript代码,比如<script>alert('弹窗')</script>
这段代码,就是一个弹窗代码。
案例代码
先上一段代码来演示下攻击效果,下面这个是一个spring boot例子,一个很简单的接口,支持GET和POST请求。
请求之后返回一个字符串,拼接请求传过来的name参数。
XSS漏洞攻击工具
工欲善其事必先利其器,一个好用趁手的工具很重要。比如现在测试上面那段弹窗代码,用postman是测试不出来的,或者说我把请求方法限定为POST怎么办?
- 使用Firefox浏览器的控制台,可以抓到接口编辑重发,请求头请求参数都可以修改。
- 使用Hackbar工具来测试,不过最新的Hackbar已经开始收费了,可以通过安装旧版本的方式来解决。这里给出下载地址:https://github.com/Mr-xn/hackbar2.1.3,需要注意的是chrome浏览器能使用的版本是v2.2.6和v2.3.1。
- 在Firefox里安装Max HackBar插件,这个是免费的插件,需要的可以去Firefox浏览器插件市场搜索安装使用。
攻击效果
如何防御
进入正题,既然是漏洞,那就有封堵的办法。看上面的介绍里,注入恶意代码,是不是想起来SQL注入了,我们这里也做一个预编译来处理这些特殊字符。
以下代码基于Spring Boot 2.4x编写,传统spring的项目也适用,只是添加filter需要在web.xml文件中配置一下。
添加一个Filter
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
/**
* XSS攻击过滤器,对特殊字符进行转义
*/
@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
public class XssFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
filterChain.doFilter(new XssRequestWrapper(((HttpServletRequest) request)), response);
}
@Override
public void destroy() {
}
}
添加一个请求包装器
import org.springframework.web.util.HtmlUtils;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
* xss过滤请求包装器
*/
public class XssRequestWrapper extends HttpServletRequestWrapper {
public XssRequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values == null)
return null;
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = HtmlUtils.htmlEscape(values[i]);
}
return encodedValues;
}
public String getParameter(String parameter) {
String value = super.getParameter(parameter);
if (value == null)
return null;
return HtmlUtils.htmlEscape(value);
}
public String getHeader(String name) {
String value = super.getHeader(name);
if (value == null)
return null;
return HtmlUtils.htmlEscape(value);
}
}
在启动类添加扫描注解
添加@ServletComponentScan注解,路径换成filter类所在的包。
@ServletComponentScan(basePackages = "com.example.boot2.filter")
传统Spring MVC项目(xml配置)
上面提到的注解都去掉,然后在web.xml中添加这个Filter类,配置好过滤路径就好了。
<!--配置xss过滤器 -->
<filter>
<filter-name>xssFilter</filter-name>
<!--替换成过滤器类路径-->
<filter-class>com.example.boot2.filter.XssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>xssFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
测试效果
看到结果已经被防御了,弹窗代码并没有执行成功。但是你可能会疑惑为什么攻击代码被显示在了页面上,这是因为我返回结果里把编译后的代码给拼接返回了,所以直接显示出来了,可以下图debug编译后的参数。
one more thing
上面的方案在我测试过程中就发现了一个问题,就是有些接口的参数中是包含 < >这种符号的,而这些接口是老项目中已经存在并使用的,没法替换,所以我在实际使用中对路径做了下调整,只过滤指定接口,如果有其他比较好的方案的还请大佬不吝赐教。