XSS之xssprotect

最新推荐文章于 2024-04-14 01:13:35 发布
最新推荐文章于 2024-04-14 01:13:35 发布
阅读量4.6k 收藏
点赞数
分类专栏: 安全 java 文章标签: XSS xssprotect
java 同时被 2 个专栏收录
36 篇文章 0 订阅
订阅专栏
安全
5 篇文章 0 订阅
订阅专栏
参考资料
1 跨网站脚本 http://zh.wikipedia.org/wiki/XSS
2 http://code.google.com/p/xssprotect/
一 跨网站脚本介绍
     跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java, VBScript, ActiveX, Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
二 常用的XSS攻击手段和目的
  盗用 cookie ,获取敏感信息。
利用植入 Flash ,通过 crossdomain 权限设置进一步获取更高权限;或者利用Java等得到类似的操作。
利用 iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
  利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
  在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果。
三 漏洞的防御和利用
避免XSS的方法之一主要是将用户所提供的内容进行过滤,许多语言都有提供对HTML的过滤:

    PHP的htmlentities()或是htmlspecialchars()。
    Python的cgi.escape()。
    ASP的Server.HTMLEncode()。
    ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
    Java的xssprotect(Open Source Library)。
    Node.js的node-validator。
四 xssprotect

在Eclipse中通过svn检出项目源地址:http://xssprotect.googlecode.com/svn/trunk/如下图

通用使用方式:http://code.google.com/p/xssprotect/wiki/HowTouse

package com.xss.example;

import java.io.IOException;
import java.io.StringReader;
import java.io.StringWriter;

import com.blogspot.radialmind.html.HTMLParser;
import com.blogspot.radialmind.html.HandlingException;
import com.blogspot.radialmind.xss.XSSFilter;

public class XSSTest {

	public static void main(String[] args) {
		String html = "<html><head> <title> New Document </title> " +
				"<script type='text/javascript'>  alert('dddd');   </script> " +
				"</head> <body>" +
				"222 <iframe  src='www.google.com'/>  1111" +
				"<embed ></embed>" +
				"<link>ddd</link>" +
				"</body></html>";
		String v = protectAgainstXSS(html);
		System.out.println(v);

	}
	
	public static String protectAgainstXSS( String html ) {
	    StringReader reader = new StringReader( html );
	    StringWriter writer = new StringWriter();
	    String text = null;
	    try {
	        // Parse incoming string from the "html" variable
	        HTMLParser.process( reader, writer, new XSSFilter(), true );
	        // Return the parsed and cleaned up string
	        text =  writer.toString();
	    } catch (HandlingException e) {
	        // Handle the error here in accordance with your coding policies...
	    }finally{
	    	try {
				writer.close();
				reader.close();
			} catch (IOException e) {				
				e.printStackTrace();
			}	    	
	    }
	    return text;
	}
}

在它的源代码中有二个类需要关注下:
BaseTestCase.java 
public abstract class BaseTestCase extends TestCase {
	protected void testExecute( String html, String result ) {
		StringReader reader = new StringReader( html );
		StringWriter writer = new StringWriter();
		
		try {
			HTMLParser.process( reader, writer, new XSSFilter(), true );
			String buffer = new String( writer.toString() );
			System.out.println( buffer );
			assertEquals( result, buffer );
		} catch (HandlingException e) {
			e.printStackTrace();
			fail( e.getMessage() );
		}
	}
}

XSSFilter.java 

/**
 * Copyright 2008 Gerard Toonstra
 *
 * As an exception, this particular file 
 * in the project is public domain to allow totally
 * free derivations of this code.
 * 
 */

package com.blogspot.radialmind.xss;

import java.util.HashSet;
import java.util.Set;

import com.blogspot.radialmind.html.IHTMLFilter;

/**
 * Implementation of a relatively simple XSS filter. This implementation removes
 * dangerous tags and attributes from tags. It does not verify the validity of 
 * URL's (that may contain links to JavaScript for example). It does not remove all
 * event handlers that may still contain XSS vulnerabilities. 
 * 
 * Embedded objects are removed because those may contain XSS vulnerabilities in 
 * their own scripting language (ActionScript for Flash for example).
 * 
 * Feel free to derive your own implementation from this file.
 * 
 * @author gt
 *
 */
public class XSSFilter implements IHTMLFilter {
	
	private static final Set<String> FORBIDDEN_TAGS = new HashSet<String>();
	
	// The tags to be removed. Case insensitive of course.
	static {
		FORBIDDEN_TAGS.add( "script" );
		FORBIDDEN_TAGS.add( "embed" );
		FORBIDDEN_TAGS.add( "object" );
		FORBIDDEN_TAGS.add( "layer" );
		FORBIDDEN_TAGS.add( "style" );
		FORBIDDEN_TAGS.add( "meta" );
		FORBIDDEN_TAGS.add( "iframe" );
		FORBIDDEN_TAGS.add( "frame" );
		FORBIDDEN_TAGS.add( "link" );
		FORBIDDEN_TAGS.add( "import" );
		FORBIDDEN_TAGS.add( "xml" );
	}
	
	/**
	 * This function is called to determine if an attribute should be filtered or not.
	 * 
	 * @param tagName	The name of the tag the attribute belongs to
	 * @param attrName	The name of the attribute to be filtered
	 * @param attrValue	The value of the attribute
	 */
	public boolean filterAttribute(String tagName, String attrName, String attrValue) {
		if ( attrName.toLowerCase().startsWith( "on" )) {
			return true;
		}
		
		return isScriptedAttributeValue( attrValue );
	}

	/**
	 * 	This method is called to determine if a tag should be filtered
	 * 
	 * @param tagName	The name of the tag that was parsed
	 */
	public boolean filterTag(String tagName) {
		if ( FORBIDDEN_TAGS.contains( tagName )) {
			return true;
		}
		return false;
	}

	/**
	 * This method is called to modify attribute values, if required
	 * 
	 * @param tagName	The name of the tag the attribute belongs to
	 * @param attrName	The name of the attribute within the tag
	 * @param attrValue		The value of the attribute
	 */
	public String modifyAttributeValue(String tagName, String attrName, String attrValue) {
		return attrValue;
	}

	/**
	 * This method is called to be able to modify the text of a node.
	 * 
	 * @param tagName	The name of the tag where the text is part of.
	 * @param text		The value of the text within the tagnode (within <tag>...</tag>)
	 */
	public String modifyNodeText(String tagName, String text) {
		return text;
	}
	
	/**
	 * Private method that determines if an attribute value is scripted
	 * (potentially loaded with an XSS attack vector).
	 * 
	 * @param attrValue	The value of the attribute
	 * @return "true" if the attribute is scripted. "false" if not.
	 */
	private boolean isScriptedAttributeValue( String attrValue ) {
		attrValue = decode( attrValue );
		attrValue = attrValue.trim().toLowerCase();

		if ( attrValue.contains( "javascript:" )) {
			return true;
		}
		if ( attrValue.contains( "mocha:" )) {
			return true;
		}
		if ( attrValue.contains( "eval" )) {
			return true;
		}
		if ( attrValue.contains( "vbscript:" )) {
			return true;
		}
		if ( attrValue.contains( "livescript:" )) {
			return true;
		}
		if ( attrValue.contains( "expression(" )) {
			return true;
		}
		if ( attrValue.contains( "url(" )) {
			return true;
		}
		if ( attrValue.contains( "&{" )) {
			return true;
		}
		if ( attrValue.contains( "&#" )) {
			return true;
		}
		return false;
	}
	
	/**
	 * Private method to remove control characters from the value
	 * 
	 * @param value	The value being modified
	 * @return	The value free from control characters
	 */
	private String decode( String value ) {
		value = value.replace("\u0000", "" );
		value = value.replace("\u0001", "" );
		value = value.replace("\u0002", "" );
		value = value.replace("\u0003", "" );
		value = value.replace("\u0004", "" );
		value = value.replace("\u0005", "" );
		value = value.replace("\u0006", "" );
		value = value.replace("\u0007", "" );
		value = value.replace("\u0008", "" );
		value = value.replace("\u0009", "" );
		value = value.replace("\n", "" );
		value = value.replace("\u000B", "" );
		value = value.replace("\u000C", "" );
		value = value.replace("\r", "" );
		value = value.replace("\u000E", "" );
		value = value.replace("\u000F", "" );
		value = value.replace("\u0010", "" );
		value = value.replace("\u0011", "" );
		value = value.replace("\u0012", "" );
		value = value.replace("\u0013", "" );
		value = value.replace("\u0014", "" );
		value = value.replace("\u0015", "" );
		value = value.replace("\u0016", "" );
		value = value.replace("\u0017", "" );
		value = value.replace("\u0018", "" );
		value = value.replace("\u0019", "" );
		value = value.replace("\u001A", "" );
		value = value.replace("\u001B", "" );
		value = value.replace("\u001C", "" );
		value = value.replace("\u001D", "" );
		value = value.replace("\u001E", "" );
		value = value.replace("\u001F", "" );
		return value;
	}
}

通过这个过滤就知道它要做什么了


转自:http://liuzidong.iteye.com/blog/1744023


findlymw
关注
专栏目录
java xssprotect_XSSxssprotect(转)
weixin_32620265的博客
02-21 220
/***Copyright2008GerardToonstra**Asanexception,thisparticularfile*intheprojectispublicdomaintoallowtotally*freederivationsofthiscode.**/packagecom.blogspot.radialmind.xss;impo...
防止XSS攻击xssProtect用到的jar包
11-04
为了防御XSS攻击,开发者通常会采用各种策略和工具,其中就包括"XssProtect"这样的库。这个主题中提到的三个jar包——antlr-3.0.1.jar、antlr-runtime-3.0.1.jar和xssProtect-0.1.jar,都是与防止XSS攻击相关的组件...
xssprotect防止XSS攻击源码
08-27
javaweb用过滤器,用装饰设计模式对request重新包装后对前台传到后台参数进行过滤,xssprotect防止XSS攻击
XSSxssprotect(转)
weixin_33736649的博客
03-28 219
参考资料 1 跨网站脚本 http://zh.wikipedia.org/wiki/XSS 2 http://code.google.com/p/xssprotect/ 一 跨网站脚本介绍      跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页 上,其...
防止XSS攻击xssProtect
11-03
3. **xssProtect-0.1.jar**:这是XSSProtect的核心库,包含了处理和阻止XSS攻击的类和方法。它可能提供了诸如HTML实体编码、黑名单过滤、白名单验证等机制,以确保输入数据的安全性。 使用XSSProtect时,开发者可以...
防止XSS攻击xssProtect用到的jar包(antlr-3.0.1,antlr-runtime-3.0.1,xssProtect-0.1)
03-02
总之,防止XSS攻击是一个多层面的过程,`xssProtect`、ANTLR等相关工具可以帮助开发者减轻这一风险,但同时也需要配合良好的编程习惯和全面的安全策略来确保应用的安全。通过理解和正确使用这些库,我们可以构建更加...
xssProtect-0.1.jar
11-19
xssProtect-0.1.jar 谷歌开源代码工具 、 用于XSS攻击
xssProtect-0.1.zip
04-02
谷歌开源代码工具 , 用于XSS攻击 包括测试用例及jar包 A Java library for filtering XSS attacks from user input fields
xssProtect源码
06-30
xssProtectxssProtect源码
JAVA防止XSS注入,附jar包
05-19
防止xss注入,有antlr-runtime和xssProtect两个jar包,及相关的filter过滤器。
Java防止xss攻击jar包
03-29
Java防止xss攻击依赖jar包
xssProject 所需的三个 jar 包
09-26
针对 XSS 攻击的解决方案,个人建议使用 xssProject 来解决这一问题。毕竟 xssProject 已经提供了很完善的过滤、处理方案,你可以通过研究他的代码来进行扩展,如果需要的话。 xssProject 所需的三个 jar 包。
Web 安全之 X-XSS-Protection 详解
路多辛的所思所想
11-27 2021
跨站脚本(XSS)是一种常见的网络攻击,攻击者通过在网站中插入恶意脚本,当用户访问被污染的页面时,恶意脚本会被执行,从而窃取用户的敏感信息、篡改页面内容或者执行其他恶意操作。XSS 攻击分为三种类型:持久型、DOM-based 型和反射型 XSS(非持久型)。持久型 XSS:攻击者在网页中插入恶意脚本,并将其保存到服务器或数据库中。当其他用户访问该页面时,恶意脚本会被执行,从而进行长期的网络攻击。这种类型的攻击比较危险,因为可以长期地影响用户。
java xssprotect_Java防止xss攻击
weixin_36227085的博客
02-21 221
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xmlXssEscapecn.wuzhuti.filter.XssFilterXssEscape/*REQUESTFilter类(XssFilter.java)package ...
Web 安全之 X-XSS-Protection 详解_request payload x-xss-protection
最新发布
2401_83947353的博客
04-14 1751
X-XSS-Protection 是一个旨在启用或配置某些版本的 Internet Explorer、Chrome 和 Safari 的内置跨站脚本 (XSS) 过滤器的 HTTP 响应头,这个过滤器的目的是通过检测响应中的反射性 XSS 攻击并阻止页面加载,从而保护用户免受攻击。X-XSS-Protection 响应头最早由 Microsoft 引入到 Internet Explorer 8 中,用于控制浏览器的 XSS 过滤器。随后其他浏览器厂商也在一定程度上实现了这一功能。
XSS-Protection未配置漏洞
煜铭2011
06-20 4634
0x00 背景 HTTP XSS-Protection响应标头是Internet Explorer,Chrome和Safari的功能,当页面检测到反射的跨站点脚本(XSS)攻击时,该页面将阻止加载页面。 尽管当站点实施强大的Content-Security-Policy禁止使用内JavaScript(“不安全内联”)时。 在现代浏览器中这些保护在很大程度上是不必要的,但它们仍可以为尚未使用旧版Web浏览器的用户提供保护 支持CSP。 0x01 修复思路 配置XSS-Protection响应标头值
xss之htmlspecialchars
04-10
这是一个字符串,由于其中含有Unicode编码字符"\xe4\xb9\x8b",需要先解码成中文字符"之"。整个字符串的意思是将特殊字符进行HTML实体编码,避免在网页中被误解为HTML代码而导致安全问题。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值