Cross-Site Scripting: Persistent XSS 漏洞修复笔记

最新推荐文章于 2024-05-18 18:30:00 发布
最新推荐文章于 2024-05-18 18:30:00 发布
阅读量1.2w 收藏 5
点赞数 1
分类专栏: 问题故障 java web 文章标签: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dazhong2012/article/details/88544245
版权

最近,项目工程进行 代码安全扫描 的过程中产生了一个 XSS 相关的bug,在此记录解决办法,和大家分享。

一.问题描述

漏洞扫描过程中报下面缺陷信息,大致意思是说 由于页面在接收参数的过程中,没有进行参数的校验,可能存在 参数中存在可执行代码的漏洞。

Cross-Site Scripting: Persistent Critical
Package: /WEB-INF/views/xx
xx-web/webapp/WEB-INF/views/xxxt.jsp, line 36 (Cross-Site
Scripting: Persistent) Critical
57 @Override
Sink Details
Sink: javax.servlet.jsp.JspWriter.print()
Enclosing Method: _jspService()
File: xx-web/webapp/WEB-INF/views/xx.jsp:36
Taint Flags: DATABASE, XSS

33  <form id="policy_save" method="POST">
34  <table class="edit-table mg-t-1">
35  <input type="hidden" id="zcLsh" name="zcLsh" value="${zfzc.zcLsh}">
36  <input type="hidden" name="zcbjLsh" value="${zfzc.zcbjLsh}">
37  <input type="hidden" name="createTime" value="${zfzc.createTime}">
38  <input type="hidden" name="createUser" value="${zfzc.createUser}">
39  <input type="hidden" name="functionName" value="2"/>

二.产生原因

这里引用参考的一篇文章:如何防止XSS攻击?

三.解决办法

解决该问题的办法,就是要将页面上接收的后台参数进行转义处理,避免我们的参数中出现 “特殊字符”。这里经过资料搜集及实践,我们采用开源框架 OWASP Java Encoder Project,这个开源框架主要就是进行 HTML 页面或 web 项目中 特殊字符的 转义处理。
OWASP Java Encoder Project
主页地址:https://www.owasp.org/index.php/OWASP_Java_Encoder_Project
githib地址:https://github.com/OWASP/owasp-java-encoder

1.先要在web工程中引入 pom 依赖

<dependency>
    <groupId>org.owasp.encoder</groupId>
    <artifactId>encoder</artifactId>
    <version>1.2.2</version>
</dependency>

<dependency>
    <groupId>org.owasp.encoder</groupId>
    <artifactId>encoder-jsp</artifactId>
    <version>1.2.2</version>
</dependency>

2.在 jsp 页面中,调用相应的转义方法

例如,文章开头中出现 bug 提示的内容:
在这里插入图片描述

我们引入以下标签库 ,并使用方法e.forHtml(),将 EL 表达式中的参数进行过滤

<!-- 解决XSS漏洞,引入下面lib -->
<%@taglib prefix="e" uri="https://www.owasp.org/index.php/OWASP_Java_Encoder_Project" %>
...
<input type="hidden" id="zcLsh" name="zcLsh" value="${e:forHtml(mc.zcLsh)}">
<input type="hidden" name="zcbjLsh" value="${e:forHtml(mc.zcbjLsh)}">
<input type="hidden" name="createTime" value="${e:forHtml(mc.createTime)}">
<input type="hidden" name="createUser" value="${e:forHtml(mc.createUser)}">
<input type="hidden" name="functionName" value="2"/>
<input type="hidden" name="relationId" id="relationId" value=""/>

再次扫描时,该 bug 未重现。
有关该问题的更多使用,大家可以参考文中的项目地址,有问题我们可以留言交流。

dazhong2012
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
taint:Taint是一个PHP扩展,用于检测XSS代码
01-30
污点 php扩展名,用于检测XSS代码(污染的字符串),还可以用于发现sql注入漏洞,shell注入等。 这个想法来自 ,我在php扩展中实现了它,不需要使用补丁。 请注意,请勿在产品环境中启用此扩展程序,因为它会降低您的应用程序的速度。 需求 PHP-5.2以上 安装 taint是PECL扩展名,因此您可以通过以下方式简单地安装它: pecl install taint 在Linux上编译污点 $/path/to/phpize $./configure --with-php-config=/path/to/php-config/ $make && make install 用法 启用污点后,如果将污点字符串(来自$ _GET,$ _ POST或$ _COOKIE)传递给某些函数,污点将对此发出警告。 <?php $ a = trim ( $ _GET [ 'a' ]); $ file_name = '/tmp' . $ a ; $ output = "Welcome, {$a} !!!" ; $ var = "output" ; $ sql
XSS跨站脚本攻击(Cross-site scripting
qq_49841288的博客
07-24 898
通过网页开发时,对用户输入信息过滤不足,将恶意代码注入网页中。恶意代码通常是JavaScript,但也包括Java、VBScript、ActiveX、Flash或者普通的HTML。因特网的可用资源通过简单字符串来表示,这些字符串被称作URL(统一资源定位器)。DOM是一种与平台、语言无关的应用程序接口(API)它可以动态地访问程序和脚本,更新其内容、结构和www文档的风格(HTMl和XML文档是通过说明部分定义的)。文档可以进一步被处理,处理的结果可以加入到当前的页面。......
XSS跨站脚本攻击漏洞修复技巧
最新发布
2401_84208172的博客
05-18 1057
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的,所以我们如果是在外网或者很有危险的网络上发布程序,一般都需要对这些问题进行修复
XSS (Cross-Site-Scripting)笔记
Michael Feng's的网络日志
03-04 5900
Cross-Site-Scripting也称跨站脚本攻击,缩写通常为XSS. 或者先到这里补充下知识:http://en.wikipedia.org/wiki/Cross-site_scripting 由于工作需要最近在研究一些常用的攻击方式和漏洞,用以预防和修复.如果你还没有听过说这些,可能你需要先阅读下以下的内容以帮助你快速进入状态。 XSS主要可分为三种,Reflected
(原创)攻击方式学习之(1) - 跨站式脚本(Cross-Site Scripting)
weixin_34032621的博客
09-06 423
声明:本文仅供学习研究之用,对于本文提到的某些网站的XSS漏洞,请读者发扬高尚的人道主义精神不要去危害他人,同时希望相应的网站能够尽快修补XSS漏洞。 简介 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 使用过ASP的同...
Fortify代码扫描 Java提供解决方案支撑
weixin_45336602的博客
07-09 2401
Fortify代码扫描 Access Control: Database Mass Assignment: Insecure Binder Configuration Often Misused: File Upload Header Manipulation Server-Side Request Forgery
xss跨站点脚本编制漏洞/antisamy策略过滤
09-07
XSS跨站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
Cross-site Scripting
05-23
**跨站脚本攻击(Cross-Site Scripting, XSS):威胁、机制与防范** 在当今高度数字化的社会中,网络安全已成为不可忽视的关键议题。其中,跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的网络攻击方式,对...
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
XSS,全称为"Cross Site Scripting",是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本。这种攻击方式通常发生在Web应用中,攻击者利用网站未能充分过滤或转义用户输入的数据,将恶意代码嵌入到...
xss-payload-list::bullseye:跨站点脚本(XSS漏洞有效负载列表
05-22
:rocket: 跨站点脚本(XSS漏洞有效负载列表 :rocket: 概述 : 跨站点脚本(XSS)攻击是一种注入,其中恶意脚本被注入到原本良性和可信任的网站中。 当攻击者使用Web应用程序将恶意代码(通常以浏览器脚本的形式)...
KNR-XSS-Payloads:XSS的有效负载
05-05
XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户浏览器中注入恶意脚本。这种攻击方式通常发生在网站没有正确地验证、编码或转义用户输入的数据时,导致这些数据被当作可执行的代码执行。...
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 4376
Fortity 安全评测结果及解决方案
webgoat-Cross Site Scripting XSS 跨站脚本攻击
seanyang_的博客
11-28 1018
本节课讲述了什么是XSS,并使用XSS执行那些非开发者本意的任务。
Cross-Site Scripting:Persistent 跨站点脚本:持久性
Dearzh的博客
11-15 116
Abstract: article_property.jsp 中的方法 _jspService() 向第 151 行的 Web 浏览器发送非法数据,从而导致浏览器执行恶意代码。 Explanation: Cross-Site Scripting (XSS) 漏洞在以下情况下发生: 1. 数据通过一个不可信赖的数据源进入 Web 应用程序。对于 Persistent(也称为 Stored)XSS...
网站安全
YoungYang7的博客
12-06 167
website security:thie act/practice of protecting websites from unauthorized access,use,modification,destruction,or disruption 1. Cross-Site Scripting(XSS) 攻击者通过网站将客户端脚本注入到其他用户的浏览器中 ...
针对Fortify工具扫描出几大漏洞的解决办法总结--1
热门推荐
abcxy12336的博客
08-27 3万+
Fortify是一款能扫描分析代码漏洞的强大工具,这里就不详细介绍,有兴趣了解的同学可以自己找些相关资料来看看。 本人在实际工作中遇到以下漏洞,结合他人经验及自己的理解总结出一些相关解决方式,如有不足之处还望批评指正。 1.System Information Leak 系统信息泄露:当系统数据或调试信息通过输出流或者日志功能流出程序时,就会发生信息泄漏。 看下面两段代码: out.
xss攻击 SQL注入
qq_65208982的博客
06-10 1209
QL注入,是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。SQL 注入一般发生在用户交互场景中,比如需要用户自已输入信息的输入框,或者下拉选择选项的这种,如果不做好输入内容的过滤,就很可能发生 SQL 注入。
跨站脚本攻击(XSS)分类介绍及解决办法
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
这段文字列出了三种安全漏洞分类: 1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型不一致而导致的安全漏洞。 3. CAPEC-63: Cross-Site Scripting (XSS),即跨站脚本攻击,指的是攻击者通过在网页中注入恶意脚本来窃取用户信息或执行其他恶意操作的攻击方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值