XSS攻击和跨站脚本安全漏洞防护

已于 2023-05-06 11:52:08 修改
阅读量3.7k 收藏 9
点赞数 6
分类专栏: Spring全家桶及相关框架 Work笔记 网络安全防护 文章标签: xss 安全 java
于 2022-09-05 16:28:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zyw907155124/article/details/126707699
版权

1、存储型XSS

      指应用程序通过Web请求获取不可信赖的数据,并且在未检验数据是否存在XSS代码的情况下,将其存入数据库。当程序下一次从数据库中获取该数据时,致使页面再次执行XSS代码。存储型XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储型XSS攻击。

**例如**:下面JSP代码片段的功能是根据一个已知用户雇员ID(id)从数据库中查询出该用户的地址,并显示在JSP页面上 。

```java

<%

...

Statement stmt = conn.createStatement();

ResultSet rs = stmt.executeQuery("select * from users where id =" + id);

String address = null;

if (rs != null) {

rs.next();

address = rs.getString("address");

}

%>

家庭地址: <%= address %>

```

如果address的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储型XSS攻击。

2、反射型XSS

      指应用程序通过Web请求获取不可信赖的数据,并在未检验数据是否存在恶意代码的情况下,将其发送给用户。反射型XSS一般可以由攻击者构造带有恶意代码参数的URL来实现,在构造的URL地址被打开后,其中包含的恶意代码参数被浏览器解析和执行。这种攻击的特点是非持久化,必须用户点击包含恶意代码参数的链接时才会触发。

**例如**:下面JSP代码片段的功能是从HTTP请求中读取输入的用户名(username)并显示到页面。

```java

<%

String name= request.getParameter("username"); %>

...

姓名: <%= name%>

...

```

如果name里有包含恶意代码,那么Web浏览器就会像显示HTTP响应那样执行该代码,应用程序将受到反射型XSS攻击。

3、防范建议

为了避免存储型XSS攻击,建议采用以下方式进行防御:

1.对从数据库或其它后端数据存储获取不可信赖的数据进行合理验证(如年龄只能是数字),对特殊字符(如`<、>、'、"`以及`<script>、javascript`等进行过滤。

2.根据数据将要置于HTML上下文中的不同位置(HTML标签、HTML属性、JavaScript脚本、CSS、URL),对所有不可信数据进行恰当的输出编码。

**例如**:采用OWASP ESAPI对数据输出HTML上下文中不同位置,编码方法如下。

```java

//HTML encode

ESAPI.encoder().encodeForHTML(inputData);

//HTML attribute encode

ESAPI.encoder().encodeForHTMLAttribute(inputData);

//JavaScript encode

ESAPI.encoder().encodeForJavaScript(inputData);

//CSS encode

ESAPI.encoder().encodeForCSS(inputData);

//URL encode

ESAPI.encoder().encodeForURL(inputData);

```

3.设置HttpOnly属性,避免攻击者利用跨站脚本漏洞进行Cookie劫持攻击。在Java EE中,给Cookie添加HttpOnly的代码如下:

```java

...

response.setHeader("Set-Cookie","cookiename=cookievalue; path=/; Domain=domainvaule; Max-age=seconds; HttpOnly");

...

```

4、通过过滤器和拦截器,拦截请求和响应,对请求和响应中的内容依次校验过滤

1、跨站脚本和存储型XSS攻击防御工具类

package com.hlframe.modules.frame.utils;

import java.util.regex.Pattern;

/**
 * 跨站脚本和存储型XSS攻击防御工具类
 * @author zyw
 * @date 16:52:11
 */
public class XSSUtils {

    public static Pattern scriptPattern1 = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
    public static Pattern scriptPattern2 = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    public static Pattern scriptPattern3 = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    public static Pattern scriptPattern4 = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
    public static Pattern scriptPattern5 = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    public static Pattern scriptPattern6 = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    public static Pattern scriptPattern7 = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    public static Pattern scriptPattern8 = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
    public static Pattern scriptPattern9 = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
    public static Pattern scriptPattern10 = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    public static Pattern scriptPattern11 = Pattern.compile(".*<.*", Pattern.CASE_INSENSITIVE );

    public static String striptXSS(String value) {
        if (value != null) {

            value = value.replaceAll("", "");
            value = scriptPattern1.matcher(value).replaceAll("");
            value = scriptPattern2.matcher(value).replaceAll("");
            value = scriptPattern3.matcher(value).replaceAll("");
            value = scriptPattern4.matcher(value).replaceAll("");
            value = scriptPattern5.matcher(value).replaceAll("");
            value = scriptPattern6.matcher(value).replaceAll("");
            value = scriptPattern7.matcher(value).replaceAll("");
            value = scriptPattern8.matcher(value).replaceAll("");
            value = scriptPattern9.matcher(value).replaceAll("");
            value = scriptPattern10.matcher(value).replaceAll("");
            value = scriptPattern11.matcher(value).replaceAll("");
        }
        return value;
    }


}

2、请求过滤业务实现类

package com.hlframe.modules.frame.interceptor;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import com.hlframe.modules.frame.utils.XSSUtils;
import org.springframework.util.StringUtils;
import org.springframework.web.multipart.MultipartHttpServletRequest;
import org.springframework.web.multipart.commons.CommonsMultipartResolver;

/**
 * 请求过滤业务实现类
 */
public class XssRequestWrappers extends HttpServletRequestWrapper{

    private CommonsMultipartResolver multiparResolver = new CommonsMultipartResolver();

    public XssRequestWrappers(HttpServletRequest request) {
        super(request);

        String type = request.getHeader("Content-Type");
        if (!StringUtils.isEmpty(type) && type.contains("multipart/form-data")) {
            MultipartHttpServletRequest multipartHttpServletRequest = multiparResolver.resolveMultipart(request);
            Map<String, String[]> stringMap = multipartHttpServletRequest.getParameterMap();
            if (!stringMap.isEmpty()) {
                for (String key : stringMap.keySet()) {
                    String value = multipartHttpServletRequest.getParameter(key);
                    XSSUtils.striptXSS(key);
                    XSSUtils.striptXSS(value);
                }
            }
            super.setRequest(multipartHttpServletRequest);
        }
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = XSSUtils.striptXSS(values[i]);
        }
        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        return XSSUtils.striptXSS(value);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return XSSUtils.striptXSS(value);
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> map1 = super.getParameterMap();
        Map<String, String[]> escapseMap = new HashMap<String, String[]>();
        Set<String> keys = map1.keySet();
        for (String key : keys) {
            String[] valArr = map1.get(key);
            if (valArr != null && valArr.length > 0) {
                String[] escapseValArr = new String[valArr.length];
                for (int i = 0; i < valArr.length; i++) {
                    String escapseVal = XSSUtils.striptXSS(valArr[i]);
                    escapseValArr[i] = escapseVal;
                }
                escapseMap.put(key, escapseValArr);
            }
        }

        return escapseMap;
    }

}

 3、XSSFilter拦截类

package com.hlframe.modules.frame.interceptor;
import com.hlframe.modules.frame.utils.XSSUtils;
import org.springframework.stereotype.Component;

import java.io.IOException;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 存储型XSS、跨站脚本过滤器
 * @author zyw
 * @since 2022-09-01 20:09:31
 */
@Component
@WebFilter(filterName = "XSSFilter",
        /**
         * 通配符(*)表示对所有的web资源进行拦截
        */
        urlPatterns = "/*"
)
public class XSSFilter implements Filter  {
    @Override
    public void init(FilterConfig arg0) throws ServletException {
        System.out.println("初始化过滤器!");
    }

    @Override
    public void destroy() {
        System.out.println("销毁过滤器!");
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        //过滤请求
//        chain.doFilter(new XssRequestWrappers((HttpServletRequest) request), response);

        //过滤返回
        ResponseWrapper wrapperResponse = new ResponseWrapper((HttpServletResponse)response);//转换成代理类

        chain.doFilter(new XssRequestWrappers((HttpServletRequest) request), wrapperResponse);
        byte[] content = wrapperResponse.getContent();//获取返回值
        //判断是否有值
        if (content.length > 0)
        {

            String str = new String(content, "UTF-8");
            System.out.println("返回值:" + str);
            String ciphertext = null;

            try
            {
                System.out.println("str = " + str);
                //......根据需要处理返回值
                ciphertext = XSSUtils.striptXSS(str);
                System.out.println("ciphertext = " + ciphertext);


            }
            catch (Exception e)
            {
                e.printStackTrace();
            }
            //把返回值输出到客户端
            ServletOutputStream out = response.getOutputStream();
            out.write(ciphertext.getBytes());
            out.flush();
        }
    }

}

4、返回值输出代理类

/**
 * 返回值输出代理类
 *
 * @Title: ResponseWrapper
 * @Description:
 * @author zyw
 * @date 9:52:11
 */
public class ResponseWrapper extends HttpServletResponseWrapper {
    private ByteArrayOutputStream buffer;

    private ServletOutputStream out;

    public ResponseWrapper(HttpServletResponse httpServletResponse)
    {
        super(httpServletResponse);
        buffer = new ByteArrayOutputStream();
        out = new WrapperOutputStream(buffer);
    }

    @Override
    public ServletOutputStream getOutputStream()
            throws IOException
    {
        return out;
    }

    @Override
    public void flushBuffer()
            throws IOException
    {
        if (out != null)
        {
            out.flush();
        }
    }

    public byte[] getContent()
            throws IOException
    {
        flushBuffer();
        return buffer.toByteArray();
    }

    class WrapperOutputStream extends ServletOutputStream
    {
        private ByteArrayOutputStream bos;

        public WrapperOutputStream(ByteArrayOutputStream bos)
        {
            this.bos = bos;
        }

        @Override
        public void write(int b)
                throws IOException
        {
            bos.write(b);
        }

        @Override
        public boolean isReady()
        {

            // TODO Auto-generated method stub
            return false;

        }

        @Override
        public void setWriteListener(WriteListener arg0)
        {

            // TODO Auto-generated method stub

        }
    }

注意:SpingBoot3.0.0之前旧版本不支持通过正则表达式对响应进行过滤

此时可以通过String类中的各种方法直接对响应或请求中的内容进行修改

package com.hlframe.modules.frame.utils;

import java.util.regex.Pattern;

/**
 * 跨站脚本和存储型XSS攻击防御工具类
 * @author zyw
 * @date 16:52:11
 */
public class XSSUtils {
    
    public static String striptXSS(String value) {
        if (value != null) {

            value = value.replaceAll("", "");
            value = value.replace('<',' ');
            value = value.replace('>',' ');

        }

        return value;
    }


}

柚几哥哥
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
渗透测试工具:脚本漏洞检测---Xsser
gao646467783的博客
01-27 3476
文章目录简介:用法:(一)、Options:(二)、特别的用法:(三)、选择目标:(四)、 现测HTTP/HTTPS的连接类型:(五)、 配置请求:(六)、 系统验校器:(七)、 选择攻击向量(s):(八)、选择Bypasser(s):(九)、 特殊的技巧:(十)、 Select Final injection(s):(十一)、 Special Final injection(s):(十二)、 混杂模式:(十三)、 Reporting:(十四)、Miscellaneous: 简介: 脚本者是一个自动框架
WEB漏洞篇——脚本攻击(XSS
m0_56634355的博客
06-05 4582
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
【转】XSS的两种攻击方式及五种防御方式
tpriwwq的专栏
11-05 2022
XSS攻击介绍及防御方法
JSP过滤器防止Xss漏洞
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
XSS Sniper - 自动化脚本攻击工具
gitblog_00074的博客
03-18 590
XSS Sniper - 自动化脚本攻击工具 项目简介 XSS Sniper 是一个基于 Python 的自动化脚本(Cross-Site Scripting)攻击工具。它可以通过向目标网注入恶意 JavaScript 代码,检测和利用潜在的 XSS 漏洞。 应用场景 XSS 攻击是网络安全中常见的威胁之一。通过使用 XSS Sniper,你可以: 对你的网进行自我安全测试,检查是...
xss介绍
songxiaomianbao的博客
08-24 776
详情介绍: XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容...
XSS 攻击实验 & 防御方案
热门推荐
is_zhoufeng的专栏
05-22 2万+
XSS 实验 不要觉得你的网安全,实际上每个网或多或少都存在漏洞,其中xss/csrf是最常见的漏洞,也是最容易被开发者忽略的漏洞,一不小心就要被黑 下面以一个用户列表页面来演示xss攻击的实验 假设某个恶意用户在注册时输入的用户名中包含攻击代码 首先准备一个jsp页面来显示用户列表 "text/html;charset=UTF-8" language="j
这个工具可以帮你自动化XSS漏洞的发现和利用:XSS-Exploitation-Tool:一个强大的XSS漏洞扫描与利用工具
jklbnm12的博客
07-22 2304
功能说明获取关于目标浏览器的技术数据可以获取目标浏览器的类型、版本、操作系统、语言等信息获取目标用户的地理坐标位置可以获取目标用户的经纬度、国家、城市等信息获取已挂起/已访问的网页快照可以获取目标用户访问过或者正在访问的网页的截图获取已挂起/已访问的网页源代码可以获取目标用户访问过或者正在访问的网页的源代码提取表单输入字段数据可以获取目标用户在表单中输入过或者正在输入的数据获取Cookie数据可以获取目标用户在浏览器中存储的Cookie数据键盘记录功能。
xss-工具-Beef-Xss安装以及使用
weixin_44257023的博客
07-24 5811
xss-工具-Beef-Xss安装以及使用
XSS脚本】存储型XSS(持久型)
08-23 1673
XSS脚本】存储型XSS
XSS脚本攻击
weixin_68057794的博客
08-08 820
XSS全称(Cross Site Scripting)脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。从上面中的一段话,可以得知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网管理人员也属于用户之一。...
xss脚本攻击-运维安全详细笔记
06-30
xss脚本攻击-运维安全详细笔记
XSS脚本攻击漏洞修复方法
06-18
NULL 博文链接:https://gqsunrise.iteye.com/blog/2214704
解析如何防止XSS脚本攻击
01-31
这些规则适用于所有不同类别的XSS脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
XSS Challenges 靶场通关解析
Flag少侠的博客
05-06 482
XSS Challenges(脚本攻击挑战)是一种用于学习和测试脚本XSS)漏洞的实验性平台。这些挑战旨在帮助安全研究人员和开发人员了解XSS漏洞的工作原理、检测方法和防御技巧。通常,XSS Challenges平台提供一系列不同级别和类型的XSS漏洞场景,参与者需要利用这些漏洞实现特定的攻击目标。这些挑战可以包括在网页输入框中注入恶意脚本、利用DOM(文档对象模型)漏洞执行JavaScript代码等。参与者需要通过分析和利用漏洞,成功地触发XSS漏洞并实现攻击目标,从而完成挑战。
02-XSS渗透测试步骤
tianxiadiiw的博客
05-06 152
存储型又叫永久性xss,常见于留言板,因为存储型xss的页面会将用户输入的内容存入到数据库内,反射型xss是一次性的,而且比较容易被发现,通常恶意链接会被修改成短链接,或钓鱼图片的形式。输入后和原有的前端代码产生混淆,形成新的页面语句,并且新的页面语句能够被浏览器解析并输出。所以其他人每访问一次的时候,服务器都会从数据库将攻击者输入的内容调取到前端浏览器解析,xss原理就是开发者没有对输入内容进行过滤,导致通过攻击者进行构造的前端代码,3)查看输出位置的内容与输入内容之间的关系,构建闭合和拼接脚本
常见面试题:XSS和CSRF原理及防范方法
weixin_46191445的博客
04-29 497
浏览器向服务器请求的时候被注入脚本攻击(非持久性脚本攻击)攻击方法:攻击者把带有恶意脚本代码参数的URL地址发送给用户(持久性脚本攻击)具有攻击性的脚本被保存到了服务器端数据库,并且可以被普通用户完整的从服务中取得并执行,从而获得了在网络上传播的能力。这种攻击类型不需要服务器端支持,是由于DOM结构修改导致的。
06-xss攻防于绕过
最新发布
tianxiadiiw的博客
05-06 502
xss的攻击于防御
存储型XSS攻击的攻击
05-11
存储型XSS攻击是一种恶意攻击,攻击者通过在网上注入恶意脚本,使得用户在访问该网时,恶意脚本会被存储在数据库或者本地存储中,并在下一次用户访问该网时被执行。这种攻击方式可以长期持续,对网和用户造成极大的危害。 攻击者可以通过各种方式注入恶意脚本,例如在评论、留言、表单等输入框中注入JavaScript代码。一旦用户访问该网并触发了这些恶意代码,攻击者就可以窃取用户的敏感信息,如账户密码、个人信息等。 为了防止存储型XSS攻击,开发人员必须对输入的数据进行过滤和验证,确保不会将任何恶意代码存储到数据库中。此外,还要对用户输入的内容进行编码,以防止恶意脚本在页面中执行。网管理员还应该定期检查数据库中是否存在恶意脚本,并及时清除它们。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柚几哥哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值