web项目XSS漏洞处理

最新推荐文章于 2024-04-23 15:11:40 发布
最新推荐文章于 2024-04-23 15:11:40 发布
阅读量378 收藏
点赞数 1
分类专栏: web漏洞 文章标签: web
public void doFilter(ServletRequest req0, ServletResponse res0,
FilterChain chain)
{

HttpServletResponse response = (HttpServletResponse) res0;
HttpServletRequest request = (HttpServletRequest) req0;
response.setHeader("P3P", "CP=CAO PSA OUR");
try
{
// ActionContext ctx =ServletActionContext.getActionContext(request);
Enumeration<String> paramNames = request.getParameterNames();
String specialCharactersStr = SystemConfig.interceptSpecial;

if (null != specialCharactersStr && specialCharactersStr.length() != 0)
{
while (paramNames.hasMoreElements())
{
String paramName = (String) paramNames.nextElement();
String value = request.getParameter(paramName);
if (matchRegPattern(paramName))
{

String errorMsg = "跨站漏洞检查:请求参数名【" + paramName + "】含有特殊字符【"
+ specialCharactersStr + "】中的一个或多个!";

// ctx.getValueStack().set("operMsg", errorMsg);
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
out.println("<!DOCTYPE HTML PUBLIC \"-//W3C//DTD HTML 4.01 Transitional//EN\">");
out.println("<HTML>");
out.println(" <HEAD><TITLE>恶意攻击提醒</TITLE></HEAD>");
out.println(" <BODY>");
out.print(" ");
out.print(errorMsg);
out.println(", ");
out.println(" </BODY>");
out.println("</HTML>");
out.flush();
out.close();

}
if (matchRegPattern(value))
{
String errorMsg = "跨站漏洞检查:请求参数值【" + value + "】含有特殊字符【"
+ specialCharactersStr + "】中的一个或多个!";
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
out.println("<!DOCTYPE HTML PUBLIC \"-//W3C//DTD HTML 4.01 Transitional//EN\">");
out.println("<HTML>");
out.println(" <HEAD><TITLE>恶意攻击提醒</TITLE></HEAD>");
out.println(" <BODY>");
out.print(" ");
out.print(errorMsg);
out.println(", ");
out.println(" </BODY>");
out.println("</HTML>");
out.flush();
out.close();
}
}
}
chain.doFilter(req0, res0);
}
catch (Exception e)
{
e.printStackTrace();
}
}


web.xml配置

<filter>
<filter-name>loginfilter</filter-name>
<filter-class>com.ipi.wlan.base.common.FiterHandle</filter-class>
</filter>
<filter-mapping>
<filter-name>loginfilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

过滤字符:<item name="interceptSpecial" value="{,},>,<,&apos;,;,alert(,alert(," comment="个性化字段过滤"/>


private static boolean matchRegPattern(String strTarget)
{
String[] specialCharactersArray = SystemConfig.interceptSpecial
.split(",");
if (null != strTarget)
{
for (int i = 0; i < specialCharactersArray.length; i++)
{
if (strTarget.indexOf(specialCharactersArray[i]) >= 0)// 该字符串存在特殊字符
{
return true;
}
}
}
return false;
}
Y_THZOP
关注
专栏目录
JAVA WEBXSS漏洞详解及防御措施
洛阳泰山的博客
09-06 2156
pom文件依赖 <!--jsoup--> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> 工具类代码
XSS漏洞扫描经验分享
weixin_30898109的博客
08-29 877
关于XSS漏洞扫描,现成的工具有不少,例如paros、Acunetix等等,最近一个项目用扫描工具没有扫出漏洞,但还是被合作方找出了几个漏洞。对方找出的漏洞位置是一些通过javascript、ajax方式向后台发出的请求,这些用工具都没有扫描出来,看来找漏洞还是需要工具加手工结合起来。 怎么样用手工的方法来找,我们用了比较原始的方法,人手从后台代码里面找出所有会接收前台请求的地方,把请求的路径、...
XSS漏洞说明
王嘟嘟的博客
09-20 1071
0x00 前言 还没有这么认真的学习一下XSS的知识,这个是对xss系列博客的一个总结。 0x01 反射型xss漏洞 1.原理 2.在线练习总结篇: https://blog.csdn.net/qq_36869808/article/details/82734524 0x02 存储型xss漏洞 ...
【安全】XSS安全漏洞与CSRF攻击
藏经阁
02-08 923
XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各...
web漏洞XSS
小白的博客
05-08 287
漏洞描述 XSS (跨站脚本攻击)主要基于javascript (JS) 完成恶意的攻击行为。JS可以非常灵活的操作html、css和浏览器,这使得XSS攻击的“想象”空间特别大。 XSS通过将精心构造的代码(JS) 代码注入到网页中,并由浏览器解释运行这段JS代码,以达到恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会解析这段XSS代码,也就是说用户被攻击了。用户最简单的动作就是使用浏览器上网,并且浏览器中有javascript解释器,可以解析j avascri
XSS跨站脚本安全漏洞防护
Zyw907155124的博客
06-05 1858
存储型XSS是指应用程序通过Web请求获取不可信赖的数据,并且在未检验数据是否存在XSS代码的情况下,将其存入数据库。存储型XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储型XSS攻击。如果address的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储型XSS攻击。
Web应用进行XSS漏洞测试
03-03
WEB应用进行XSS漏洞测试,不能仅仅局限于在WEB页面输入XSS攻击字段,然后提交。绕过JavaScript的检测,输入XSS脚本,通常被测试人员忽略。下图为XSS恶意输入绕过JavaScript检测的攻击路径。XSS输入通常包含...
Web-XSS漏洞
weixin_43916678的博客
05-01 1058
XSS攻击(跨站脚本攻击)是指攻击者利用网站程序对用户输入过滤不足的缺陷,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 XSS攻击主要影响的是用户端的安全,包含用户信息安全、权限安全等。并且多数XSS攻击都依赖于JavaScript脚本开展。 核心要求是构造出能够让前端执行的JS代码,让攻击者的JS代码在受害者浏览器上执行,攻击系统用户而不是系统本身。 JS运行条件:代码位于< script >标签中、代
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
最新发布
zz12345600354的博客
04-23 1036
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
Java利用拦截器处理XSS漏洞
sunon_的博客
04-29 3434
Java利用拦截器处理XSS漏洞 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者 使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,就会出 现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户 会话、破坏网站或将用户重定向到恶意站点。 在表单提交或者 url 参数传递前,对需要的参数进行过滤; 2.过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、” (引号)、 ‘(单引号)、%(百分比符号
response.getWriter().write()和 response.getWriter().print()的区别
sjl6666666666的博客
11-20 1万+
今日温习异步上传图片的代码。发现里面用了response.getWriter().print(),故联想到response.getWriter().writer(),经过一番api的查找与实操,总结如下: response.getWriter()返回的是PrintWriter,这是一个打印输出流。 response.getWriter().print(),不仅可以打印输出文本格式的(包括html标签
防止xss攻击 --- getParameter getParameterValues getParameterMap的使用
殇沫流年的专栏
08-03 3057
import java.io.IOException; import java.util.HashMap; import java.util.Map; import java.util.Set; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; impo...
response.setContentType()的作用及参数(转载)
weixin_30878501的博客
09-21 2045
response.setContentType(MIME)的作用是使客户端浏览器,区分不同种类的数据,并根据不同的MIME调用浏览器内不同的程序嵌入模块来处理相应的数据。例如web浏览器就是通过MIME类型来判断文件是GIF图片。通过MIME类型来处理json字符串。 Tomcat的安装目录\conf\web.xml 中就定义了大量MIME类型 ,可以参考。response.setCo...
response.getWriter().write()和 response.getWriter().print()的区别 以及 PrintWriter对象 和 out对象 的区别
krismile__qh的博客
05-07 4万+
一、response.getWriter().write()和 response.getWriter().print()的区别 response.getWriter()返回的是PrintWriter,这是一个打印输出流 response.getWriter().write()和 response.getWriter().print()是响应给客户端的东西,如果不用ajax接收将数据放在合适的位...
XSS(跨站脚本攻击)详解
谢公子的博客
09-08 7万+
目录 XSS的原理和分类 XSS的攻击载荷 XSS可以插在哪里? XSS漏洞的挖掘 XSS的攻击过程 XSS漏洞的危害 XSS漏洞的简单攻击测试 反射型XSS: 存储型XSS: DOM型XSSXSS的简单过滤和绕过 ​XSS的防御 反射型XSS的利用姿势 get型 post型 利用JS将用户信息发送给后台 XSS的原理和分类 跨站脚本攻击XSS(Cros...
xss漏洞完美解决方法
f0rd_的博客
09-07 1万+
 搞什么安全漏洞检查,在加个防止恶意弹窗的吧 package com.wh.tms.xss; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XssHttpServletRequestWrapper extends ...
前端项目和response.getWriter().write(xxxx)的理解
从小就很酷的博客
04-12 1万+
首选理解前端项目的实质:前端项目是依赖于浏览器而生存,就是浏览器中的页面而已,前端项目支持window.location.href="xxxx"或者ajax调用等那是因为浏览器支持它们,所以前端项目才这样写。 当浏览器是window.location.href="xxxx"方式调用时可以在接口中用response.getWriter().write(xxxx)返回给浏览器结果,和retur...
response.getWriter().write()与out.print()的区别
热门推荐
javaloveiphone的专栏
10-31 9万+
1、首先介绍write()和print()方法的区别:   (1)、write():仅支持输出字符类型数据,字符、字符数组、字符串等   (2)、print():可以将各种类型(包括Object)的数据通过默认编码转换成bytes字节形式,这些字节都通过write(int c)方法被输出  2、介绍response.getWriter()和out的区别:   (1)、out和respons
理解Web安全基础:XSS漏洞详解与防护
"007-Web安全基础3 - XSS漏洞.pptx" 这篇文档主要讲解了Web安全领域中的一个重要话题——XSS(Cross Site Scripting)漏洞,它是一种允许恶意攻击者在Web页面中注入可执行脚本的漏洞XSS攻击的主要目标是欺骗用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值