企业级解决SQL注入、XSS攻击解决案例

最新推荐文章于 2024-04-30 13:32:00 发布
最新推荐文章于 2024-04-30 13:32:00 发布
阅读量3.5k 收藏 1
点赞数 4
分类专栏: 安全漏洞 文章标签: sql xss java 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MoonR1s3/article/details/122114184
版权

  • SQL注入和XSS攻击实际上的原理都是通过拼接从而完成攻击,通过简单的黑名单或编码在有些时候并不能完全防御以上两种问题。本文中使用OWASP的owasp-java-html-sanitizer组件,通过Sanitizer(消毒)从而达到避免SQL注入和XSS攻击的效果。

    注意事项
    使用该组件进行消毒后,如"><alert(1)>“此字符串会被直接干掉,结果为”&#gt;"
    还有在涉及到邮箱@的时候也会被转义入库,但是实际上数据库中存HTML实体是问题不大的,只需要需要使用的时候注意一下即可。
    如果你的业务涉及到此类似情况,请特殊处理,酌情使用。
    且policy支持自定义,可扩展性非常强,可以根据你的实际需求完成自定义规则。

Q&A:

  1. 为什么要在工具类中做两次try…catch解码,在源码扫描中这么做的意义并不大,但在渗透测试中,面对一些二次编码的攻击手段,单一的对传入参数进行编码是毫无意义的,所以在其中做了两次解码。并且Sanitizer在调用之前,必须确保传入的参数必须是明文,是不能有任何编码格式的,否则消毒前后的结果也是没变化的。

更新:

2021-12-24 : 今天在使用AppScan扫描时发现仍然有一处XSS被扫出来了,仔细看了一下原来又是编码造成的,alert(1)为例,转义成"\x61\x6c\x65\x72\x74\x28\x31\x29",目前的应对方案是在SecurityUtils里二次解码的过程中
URLDecoder.decode(xStr.replaceAll("\\\\x", "%"), "utf-8")
针对不同编码的问题有一篇blog整理的比较详细,如下

https://blog.csdn.net/nigo134/article/details/118827542

正文:

  • 添加Filter处理Request中被污染的参数
  • SecurityFilter.java
public class SecurityFilter extends HttpServlet implements Filter{
	private Logger logger = Logger.getLogger(SecurityFilter.class);
	//默认不在Filter中处理post请求
	private boolean includePost = false;
	@Override
	public void init(FilterConfig filterConfig) throws ServletException{
		//读取web中设置的includePost参数
		String isIncludePost = filterConfig.getInitParameter("includePost");
		if(!StringUtils.isEmpty(isIncludePost)){
			if("true".equalsIgnoreCase(isIncludePost)){
				this.includePost = true;
			}else if("false".euqalsIgnoreCase("isIncludePost")){
				this.includePost = false;
			}else{
				throw new ServletException("Failed to convert property value of type 'java.lang.String' to required type 'boolean' for property 'isIncludePost'!");
			}
		}
	}
	
	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException{
		HttpServletRequest httpServletRequest = (HttpServletRequest) request;
		HttpServletResponse httpServletResponse = (HttpServletResponse) response;
		//可扩展黑名单验证begin
		Enumeration<?> params = httpServletRequest.getParameterNames();
		String param = null;
		while(params.hasMoreElements()){
			param = (String)params.nextElement();
			String paramVal = httpServletRequest.getPrameter(param);
			//校验是否存在黑名单内的字段
			if(checkSecurity(paramVal)){
				logger.error("参数中存在黑名单内字段,已被拦截===" + paramVal);
				throw new ServletException("Illegal Request Parameters !");
			}
		}
		//POST请求默认在实体类绑定属性过程中处理,此处默认只处理get请求,如需处理post请求,在web.xml中想includePost参数设置为true
		if("GET".equals(httpServletRequest.getMethod())){
			chain.doFilter(new SecurityHttpServletRequestWrapper(httpServletRequest), response);
		}else if("POST".equals){
			if(includePost){
				chain.doFilter(new SercurityHttpServletRequestWrapper(httpServletRequest), response);
			}else{
				chain.doFilter(request, response)
			}
		}else{
			chain.doFilter(request, response)
		}
	}
	
	//此处提供一个通过黑名单拦截参数的方法
	public boolean checkSecurity(String input){
		if(StringUtils.isEmpty(input)){
			return false;
		}
		//黑名单列表(此处只给一些例子,有需要可以自己扩展)
		String[] blackList = {"script","alert","xss","onload","iframe"}
		//不区分大小写
		input = input.toLowerCase();
		for(int i = 0; i < input.length; i++){
			String reg = "([^a-zA-Z]+|^)" + blackList[i] + "($|[^a-zA-Z]+)";
			if(Pattern.compile(reg).matcher(input).find()){
				return true;
			}
		}
		return false;
	}
}
  • SecurityHttpServletRequestWrapper.java
public class SecurityHttpServletRequestWrapper extends HttpServletRequestWrapper{
	public SecurityHttpServletRequestWrapper(HttpServletRequest request){super(request);}

	@Override
	public String getHeader(String name){return SecurityUtils.sanitizeHTML(super.getHeader(name));}
	@Override
	public String getQueryString(){return SecurityUtils.sanitizeHTML(super.getQueryString());}
	@Override
	public String getParameter(String name){
		if(StringUtils.isNotBlank(super.getParameter(name))){
			return SecurityUtils.sanitize(super.getParameter(name));
		}
		return "";
	}
	@Override
	public String[] getParameterValues(String name){
		String[] values = super.getParameterValues(name);
		if(values != null){
			int length = values.length;
			for(int i = 0 ; i < length ; i++){
				values[i] = SecurityUtils.sanitizeHTML(values[i]);
			}
		}
	}
}
  • POST请求默认处理在InitBinder时
	@Override
	public void setAsText(String text){
		setValue(text == null ? null : SecurityUtils.sanitizeHTML(text));
	}
  • 下面是使用到的安全工具类
public class SecurityUtils{
	private static final Logger logger = Logger.getLogger(SecurityUtils.class);
	
	private static PolicyFactory policy = Sanitizer.FORMATTING.and(Sanitizers.LINKS);
	
	public static String SanitizeHTML(String value){
		String beforeSanitizeVal = value;
		String decoderAfter = null;
		String afterSanitizeVal = null;
		//一次解码
		try{
			decoderAfter = URLDecoder.decode(value, "UTF-8");
		}catch(Exception e){
			logger.debug(e.getMessage());
			decoderAfter = value;
			logger.debug("===decoderAfter:===" + deciderAfter + "===value:===" + value);
		}
		//二次解码
		try{
			beforeSanitizeVal = URLDecoder.decode(decoderAfter , "UTF-8");
		}catch(Exception e){
			logger.debug(e.getMessage());
			beforeSanitizeVal = decoderAfter ;
			logger.debug("===decoderAfter:===" + beforeSanitizeVal + "===value:===" + decoderAfter );
		}
		try{
			if(beforeSanitizeVal == null){
				return "";
			}
			afterSanitizeValue = policy.sanitize(beforeSanitizeVal);
			if(!beforeSanitizeVal.equals(afterSanitizeValue)){
				logger.debug("Value before Sanitizer : " + beforeSanitizeVal + ",After : " + afterSanitizeValue);
			}
			//对'%'进行编码,防止二次编码造成的攻击
			afterSanitizeValue = afterSanitizeValue.replaceAll("%","&#37;").replaceAll("=","&#61;");
		}catch(Exception e){
			logger.debug("An error occurred: " + e.getMessage() + ",so return the initVal", e);
			return beforeSanitizeVal;
		}
		return afterSanitizeValue;
	}
	
	//提供重载方法
	public static Object SanitizeHTML(Object object){
		String beforeSanitizeVal = "";
		String afterSanitizeVal = "";
		//获取对象所有属性,返回Field数组
		Field[] field = object.getClass().getDeclareFields();
		//遍历所有属性
		for(int j = 0; j < field.length ; j++){
			//获取属性名字
			String name = field[j].getName();
			//将属性首字符大写,方便构造get、set方法
			name = name.substring(0,1).toUpperCase() + name.substring(1);
			//获取属性类型
			String type = field[j].getGenericType().toString();
			if(type.equals("class java.lang.String")){
				try{
					Method getMethod = object.getClass().getMethod("get" + name);
					Method setMethod = object.getClass().getMethod("set" + name, String.class);
					//调用getter方法获取属性值
					beforeSanitizeVal = (String)getMethod.invoke(object);
					if(StringUtils.isNotBlack(beforeSanitizeVal)){
						afterSanitizeVal = SanitizeHTML(beforeSanitizeVal);
					}
					setMethod.invoke(object, afterSanitizeVal);
				}catch(Exception e){
					logger.debug("Could not find getter or setter : " + e.getMessage(), e);
				}
			}
		}
		return object;
	}
}

web.xml Filter配置

<filter>
	<filter-name>securityFilter</filter-name>
	<filter-class>com.xxx.xxx.filter.SecurityFilter</filter-class>
	<init-param>
		<param-name>includePost</param-name>
		<param-value>true</param-value>
	</init-param>
</filter>
<filter-mapping>
	<filter-name>securityFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

pom.xml依赖

<!-- https://mvnrepository.com/artifact/com.googlecode.owasp-java-html-sanitizer/owasp-java-html-sanitizer -->
<dependency>
    <groupId>com.googlecode.owasp-java-html-sanitizer</groupId>
    <artifactId>owasp-java-html-sanitizer</artifactId>
    <version>20211018.2</version>
</dependency>
宇宙超级无敌小帅月�
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HtmlSanitizer:清除HTML以避免XSS攻击
02-03
HtmlSanitizer HtmlSanitizer是一个.NET库,用于从构造中清除可能导致HTML片段和文档。 它使用来解析,操纵和呈现HTML和CSS。 由于HtmlSanitizer基于强大HTML解析器,因此它还可以使您避免故意或意外的“标签中毒”,在该情况下,一个片段中的无效HTML可以破坏整个文档,从而导致布局或样式损坏。 为了方便不同的用例,可以在几个级别上自定义HtmlSanitizer: 通过属性AllowedTags配置允许HTML标签。 所有其他标签将被剥离。 通过属性AllowedAttributes配置允许HTML属性。 所有其他属性将被剥离。 通过属
owasp java_使用owasp-java-html-sanitizer进行链接提取
weixin_30095869的博客
02-21 1107
我打算使用owasp-java-html-sanitizer在用户生成的html上执行一些任务.我想从html字符串中提取一个URL列表.我还想确保所有链接都将目标设置为“_blank”,这似乎与HtmlPolicyBuilder.requireRelNofollowOnLinks配置类似. (完成)PolicyFactory linkRewrite = new HtmlPolicyBuilder...
XSS - 跨站脚本 Java 演示
allway2的博客
07-24 371
或者,当您单击从未知地址收到的电子邮件链接时,您的组织要求您不要单击并报告他们的网络安全团队作为强制性安全培训的一部分时,实际会发生什么。有一些开源工具和项目可用于清理HTML文档,方法是在将其作为响应发回之前删除诸如“、、、”之类的威胁标签。“这个世界上没有什么是免费的,只要记住一切都是有代价的”,所以不要点击来自未知发件人的链接。,攻击者能够在银行网站的帮助下,在受害者的浏览器上执行他网站上的代码。,它提供了实现并允许配置自定义策略。...
java xss 解决,如何清理Java中的HTML代码以防止XSS攻击
weixin_36322454的博客
02-16 314
I'm looking for class/util etc. to sanitize HTML code i.e. remove dangerous tags, attributes and values to avoid XSS and similar attacks.I get html code from rich text editor (e.g. TinyMCE) but it can...
Could not find method compile() for arguments
热门推荐
jimmyleeee的专栏
04-24 1万+
将gradle升级到7.3.3时,编译出现错误如下: * What went wrong: A problem occurred evaluating root project 'xss-common-lib'. > Could not find method compile() for arguments [com.googlecode.owasp-java-html-sanitizer:owasp-java-html-sanitizer:20211018.2] on object of type
java-html-sanitizer:采用第三方HTML并生成可安全嵌入到您的Web应用程序中HTML。 快速且易于配置
05-02
OWASP Java HTML消毒剂 一种快速,易于配置的用Java编写HTML Sanitizer,它使您可以在Web应用程序中包含第三方编写HTML,同时防止XSS。 现有的依赖关系在guava和JSR 305上。测试套件仅需要其他jar。 JSR 305依赖项是仅编译的依赖项,仅用于注释。 该代码的编写考虑了安全性最佳实践,具有广泛的测试套件,并经过了。 目录 入门 入门包括有关如何使用或不使用Maven的说明。 预先包装的政策 您可以使用预先打包的策略: PolicyFactory policy = Sanitizers . FORMATTING . and( Sanitizers . LINKS ); String safeHTML = policy . sanitize(untrustedHTML); 制定政策 测试显示了如何配置自己的策略: PolicyFac
使用owasp-java-html-sanitizer防止跨站脚本(XSS攻击导致中文字体样式丢失
qq_37202188的博客
02-01 379
这是由于 owasp-java-html-sanitizer在处理带有单引号的样式属性时,会把它当做STRING的类型去处理,而且是不允许带有中文的,处理的时候会把中文清除。把单引号去掉就不会判断是STRING类型,就不会进入quotedString方法,就不会清除中文。经过以上代码处理后变成了以下的html字符串,隶书被清除了,其中'是单引号。解决办法是在处理标签的属性时,把单引号去掉,这时就不会把样式的中文去掉了。测试html代码如下,里面带有中文的字体:隶书。
如何在 Java 中清理 HTML
allway2的博客
07-24 630
允许我们非常快速地创建HTML清理策略,覆盖最常见的需求,如果我们想要自定义策略以允许任何元素上的任何属性,它还提供了一个远远超出的API。每当我们的Web应用程序接收到任何将呈现为HTML的文本时,我们都必须清理这些文本以避免潜在的。假设我们的Web应用程序是一个社区网站,其中包含文章和评论。提供了几种创建清理策略的方法(OWASP命名为。提供了一个很好的工具来帮助我们清理HTML。根据我们的政策,我们现在可以使用。这将简单地清理输入字符串。这是我们的Maven。...
java保存html标签_Java对html标签的过滤和清洗
weixin_29050513的博客
02-13 356
OWASP HTML Sanitizer 是一个简单快捷的java类库,主要用于放置XSS优点如下:1.使用简单。不需要繁琐的xml配置,只用在代码中少量的编码2.由Mike Samuel(谷歌工程师)维护3.通过了AntiSamy超过95%的UT覆盖4.高性能,低内存消耗5.是AntiSamyDOM性能的4倍1.POM中增加com.googlecode.owasp-java-html-san...
InnerHtml注入JavaScript的问题
jimmyleeee的专栏
02-18 1271
最近做一个小测试,就是在标签的innerHTML中注入一段script脚本, 测试代码如下: <html> <body> <div id="div1"></div> </body> <script type="text/javascript"> var data = "{{{data}}}"; var objDiv = document.getElementById("div1"); o
预防XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
sql注入xss攻击, springmv拦截器
07-24
sql注入xss攻击, springmv拦截器,可自由调整需要拦截的字符
sql注入xss攻击常见形式和解决方法
01-01
sql注入xss攻击常见形式和解决方法。doc
Yii框架防止sql注入xss攻击与csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入xss攻击与csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入xss攻击与csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
Html转Doc的一种方案
weixin_30908941的博客
02-19 434
  公司的合同相关部分提出需求要把html转doc文本,合同模块是现成的,基于现有合同模块初步考虑了一下可以采取以下三种方案   1.合同模块本身有合同的html展示,可以通过前端,基于html的Doc来直接生成doc文档。   2.公司的合同html文本是基于一套自己设计的机制,把合同条款存在数据库,以组合节点做拼接成html来做html文本动态生成的,一种可行方案是把这套机制作为数据来源,...
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 9167
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
XSS (Cross Site Scripting) Prevention Cheat Sheet
打杂人
01-05 2309
Introduction  [hide]  1 Introduction 1.1 A Positive XSS Prevention Model1.2 Why Can't I Just HTML Entity Encode Untrusted Data?1.3 You Need a Security Encoding Library 2 XSS Pr
java的内在安全机制
最新发布
qqrrjj2011的博客
04-30 1011
java的内在安全机制
OWASP-XSS预防规则
Artisan_w
11-03 798
XSS跨站点预防规则 不要简单地对各种规则中提供的示例字符列表进行编码/转义。仅编码/转义该列表是不够的。阻止列表方法非常脆弱。此处的允许列表规则经过精心设计,即使将来因浏览器更改而引入的漏洞也能提供保护。 规则 0 除了在允许的位置,永远不要插入不受信任的数据 第一条规则是拒绝所有- 不要将不受信任的数据放入您的 HTML 文档,除非它位于规则 #1 到规则 #5 中定义的插槽之一内。规则 #0 的原因是 HTML 中有太多奇怪的上下文,以至于编码规则列表变得非常复杂。我们想不出有什么好的理由将不受信任
SQL注入XSS攻击
05-09
SQL注入是一种常见的网络安全漏洞,攻击者可以通过在网站表单或URL参数中注入恶意SQL代码,来获取或篡改数据库中的数据。为防止SQL注入攻击,应该使用参数化查询或存储过程,而不是直接将用户输入拼接到SQL语句中。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值