奇安信xss漏洞问题解决

已于 2024-05-23 16:49:05 修改
阅读量1.7k 收藏 17
点赞数 3
分类专栏: 杂记 文章标签: xss java 后端
于 2023-05-31 20:18:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hwb33333/article/details/130976290
版权

   这东西扫描有问题,不走过滤器!不走过滤器!不走过滤器! 重要的事情说三遍,不管你在过滤器配置写的过滤多好,本地代码返回有多正确,它是不会检测到的!你需要在它检测出的接口那加上过滤。

  •    如果是反射型xss,在接口内先将参数类过滤一遍,
  •    如果是存储性xss,需要将返回参数在对应的接口返回处过滤一遍,可以直接写在公共的返回类的setData里,或者封装单独的方法,只要最后能走就行(ps:在方法里不要写判断(if),直接走过滤逻辑,因为它这破检测会走别的逻辑,哪怕你用的接口写死只走过滤的逻辑,还是会检测出来漏洞

参考代码:

//返回前端封装的返回类,具体就不写了
public static <T> ResponseResult<T> success(T t) {
    ResponseResult<T> responseResult = new ResponseResult<T>();
    responseResult.setCode("xxx");
    responseResult.setMessage("请求成功");
    String jsonData = JSON.toJSONString(t, SerializerFeature.WriteMapNullValue);
    responseResult.setData(JSON.parseObject(StringEscapeUtil.filterXssResponse(jsonData),
        (Type) t.getClass().getDeclaringClass(), Feature.OrderedField));
    return responseResult;
  }



/**
   * .过滤返回前端数据 xss
   *
   * @param data 返回数据
   * @return 过滤结果
   */
  public String filterXssResponse(String data) {
    if (StringUtils.isBlank(data)) {
      return data;
    }
    //这是你自己写的过滤方法、网上很多(偷偷告诉你直接返回data 也会检测通过- -)
    //可使用hutool的 HtmlUtil.filter
    return filterXssData(data);
  }

随便写点啥
关注
  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 19
    评论
专栏目录
XSS 存储漏洞解决
qq_33391644的博客
07-21 1305
XSS漏洞修复 网上方案不得不妨看一下,网上方案优化之后的代码
反射XSS攻击
weixin_62976579的博客
09-16 587
简单的反射XSS
奇安信安全扫描漏洞解决路径遍历和存储xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
奇安信代码卫士,文件上传漏洞解决demo
04-23
奇安信代码卫士,文件上传漏洞解决demo; #### 文件上传可以参考以下安全需求进行处理: 1. 服务器配置: (1)将上传目录和上传文件设置为不可执行, 杜绝脚本执行。 (2)应保证服务器安全,避免文件解析漏洞。 2. 在服务端对上传文件进行检查: (1)使用白名单控制上传文件类,即只允许指定扩展名的文件上传。 (2)对上传文件后缀与MIME Type进行匹配校验, 对文件头信息与文件后缀进行匹配校验。 (3)对单个文件大小和总文件数进行限制, 避免拒绝服务攻击。 (4)对文件名进行输入校验,显示时进行输出编码。 3. 文件存储: (1)上传文件应保存在指定路径下。 (2)对上传文件进行随机数重命名,避免文件被覆盖。 (3)设置上传文件路径, 使用户不能轻易访问自己上传的文件 。 (4) 文件应尽量保存在内容服务器或web目录外部,避免通过web应用直接访问上传的文件。 4. 对于图片文件进行二次渲染、压缩, 避免图片写马。 5. 校验失败后,记录错误日志信息,内容至少包括时间、用户、IP、操作内容、校验失败
奇安信安全漏洞XSS漏洞 重定向漏洞解决及产生分析!_奇安信漏洞(1)
最新发布
2401_83946261的博客
04-19 456
应用程序的客户端代码从javaScript、document.location、request url、document.url、document.referrer。或者其他任何攻击者可以修改的浏览器对象获取数据、如果未验证数据是否存在恶意代码的情况下,就将其动态的更新到页面的DOM节点,应用程序将易于收到基于DOM的XSS攻击。既然都明确说明了是从客户端获取的数据,需要校验后才可以使用,那思路就清晰了。也并不是简单的校验字符而已!
跨站脚本 XSS漏洞解决办法
cs95T6的博客
05-05 727
xss漏洞解决
奇安信常见安全漏洞修复
qiaosaifei的博客
01-10 2766
奇安信常见安全漏洞问题修复
XSS 攻击的检测和修复方法
Java徐师兄的博客
07-13 2591
XSS 攻击是一种常见和危险的 Web 攻击,开发者需要对输入数据进行过滤和转义,使用安全的编程语言和框架以及安全的数据库操作,采用 CSP 等措施来防止 XSS 攻击。同时,用户也需要注意不要轻易点击不明来源的链接,避免被诱导访问恶意网站,从而保护自己的信息安全。// 去除输入数据中的 HTML 和 PHP 标签 $data = strip_tags($data);
XSS跨站脚本攻击漏洞解决
各自安好、的博客
08-19 1153
XSS(跨站脚本)攻击分类 存储 存储XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie 反射 非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面 DOMXSS 不经过后端,DOM-XSS漏洞是基于文档对象模(Document Objeet Model,DOM)的一种漏洞
XSS跨站脚本】反射xss(非持久
08-23 1128
XSS跨站脚本】反射xss
反射XSS漏洞的条件+类+危害+解决
gb4215287的博客
02-04 2859
XSS攻击需要具备两个条件:需要向web页面注入恶意代码;这些恶意代码能够被浏览器成功的执行。 XSS攻击有2种: 反射攻击; 存储攻击 XSS反射攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。 XSS存储攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛、OA、CRM等社交...
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
JSP安全开发之XSS漏洞详解
10-21
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户...
存储xss漏洞怎么解决_扫描器开发——查找反射XSS漏洞
weixin_39631953的博客
11-24 799
​  翻译文章,原文:Writing a scanner to find reflected XSS vulnerabilities — Part 1[1]代码地址:https://github.com/akhil-reni/xsstutorial , 可以直接看代码,感觉文章本身有点乱,看完才觉得好多地方说的很乱2016年,我从事一个与burp suite非常相似的Web应用程序扫描程序项目,该...
奇安信扫描文件下载功能的存储XSS漏洞修复
qq_43599841的博客
11-16 598
文件流相关的存储XSS漏洞修复
XSS漏洞原理及防御方式_三种xss漏洞防御,2024年最新带你全面掌握高级知识点
uiuuyy67的博客
04-15 2550
XSS全称是Cross Site Scripting即跨站脚本,为了与层叠样式表Cascading Style Sheets,CSS)的缩写进行区分,将跨站脚本攻击缩写为XSS,其本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。
信安小白,一篇博文讲明白存储、反射XSS漏洞
.G();的博客
10-24 3296
靶机系统:win7 存储、反射XSS漏洞一、DVWA 靶机二、XSS1. 判断是否存在XSS漏洞2. XSS攻击窃取cookie2.1 cookie为什么产生?2.2 cookie作用机制2.3 存储XSS攻击窃取cookie2.4 中级存储XSS攻击(防御代码)3. 反射XSS漏洞3.1 反射XSS漏洞实验3.2 中级、高级反射XSS攻击3.2.1 中级反射XSS攻击防御与绕过3.2.2 高级级反射XSS攻击防御与绕过3.3 总结4. 提出防御方案 一、DVWA 靶机   旨在为安全
奇安信代码卫士 java 储存xss如何解决
09-08
奇安信代码卫士是一款专注于应用程序安全的代码审计工具,它可以帮助开发人员发现和修复应用程序中的安全漏洞。对于储存XSS漏洞奇安信代码卫士也提供了解决方案。 储存XSS漏洞是指攻击者将恶意脚本代码存储到服务器上,然后通过访问该页面时动态加载脚本代码,进而对用户进行攻击。为了解决这种类漏洞,我们可以采取以下措施: 1. 输入过滤和输出编码:开发人员在接收用户输入时,需要对输入进行有效的过滤,去除潜在的恶意代码。另外,应该在输出时对使用用户输入的地方进行编码,确保脚本代码不会被执行。 2. 使用Web应用防火墙(WAF):部署WAF可以帮助防止储存XSS攻击。WAF可以检测并过滤恶意代码,并阻断攻击者的访问。 3. 内容安全策略(CSP):通过在HTTP响应头中添加CSP策略,限制应用程序加载和运行资源的来源,有效地防止储存XSS攻击。 4. 安全编码实践:开发人员应该关注安全编码实践,比如输入验证、输出编码等。同时,及时更新和修复已知的安全漏洞,以确保应用程序的安全。 总之,奇安信代码卫士在防止储存XSS漏洞方面提供了多种解决方案。通过合理的输入过滤、输出编码、WAF、CSP和安全编码实践,开发人员可以降低储存XSS漏洞的风险,并提高应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值