csrf-修复系统未授权获取信息

最新推荐文章于 2023-11-24 11:29:55 发布
最新推荐文章于 2023-11-24 11:29:55 发布
阅读量710 收藏
点赞数
分类专栏: CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiwei_style/article/details/83579078
版权

经集团安全部扫描系统存在未授权可以获取接口信息

系统改造如下:

总体方案: 添加拦截器,进行接口的请求状态的拦截判断(登录/注册等请求进行拦截排除)

版本一

系统pom文件spring-mvc版本不变的情况下,配置properties对请求拦截排除

public class LoginStatusInterceptor implements HandlerInterceptor {

    private static final StructLogger logger = StructLogger.getLogger(LoginStatusInterceptor.class);

    private static final ResourceBundle res = ResourceBundle.getBundle("CommonResourse");

    private static final List<String> loginStatusIgnore = Arrays.asList(res.getString("loginStatusIgnore").split(","));

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        request.setCharacterEncoding("UTF-8");
        String url = request.getServletPath();
  //      logger.info(url);
        if(StringUtils.isNotBlank(url)){
            if (!CollectionUtils.isEmpty(loginStatusIgnore)){
                if (loginStatusIgnore.contains(url)){
                    return true;
                }
            }
            String seqno = (String)request.getSession().getAttribute("seqno");
            if(StringUtils.isBlank(seqno)){
                logger.info("----------------------interceptor 获取session的seqno为空");
                return false;
            }
        }
            return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

在CommonResourse.properties添加请求拦截排除,配置拦截请求路径,多个请求用","分隔

#登录态忽略请求
loginStatusIgnore=/ehrlogin.htm,/ehrnologin.htm,/in/modehrpassword.htm,/getvalidcode.htm,/ehrregister.htm

springmvc拦截器配置

<!--配置拦截器, 多个拦截器,顺序执行 -->
	<mvc:interceptors>
		<mvc:interceptor>
			<!-- 匹配的是url路径, 如果不配置或/**,将拦截所有的Controller -->
			<mvc:mapping path="/**"/>
			<bean class="com.intime.hr.interceptor.CSRFInterceptor"></bean>
		</mvc:interceptor>
		<!-- 当设置多个拦截器时,先按顺序调用preHandle方法,然后逆序调用每个拦截器的postHandle和afterCompletion方法 -->
		<mvc:interceptor>
			<mvc:mapping path="/**"/>
			<bean class="com.intime.hr.interceptor.LoginStatusInterceptor"></bean>
		</mvc:interceptor>
	</mvc:interceptors>

------------------------------------------------------------------------------------------------------------------------------------

版本二

系统pom文件spring-mvc版本更新至3.2及以上,用mvc标签排除拦截的请求(排除标签3.2版本开始支持)

public class LoginStatusInterceptor implements HandlerInterceptor {

    private static final StructLogger logger = StructLogger.getLogger(LoginStatusInterceptor.class);

  
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        request.setCharacterEncoding("UTF-8");
        String url = request.getServletPath();
    //    logger.info(url);
        if(StringUtils.isNotBlank(url)){
            String seqno = (String)request.getSession().getAttribute("seqno");
            if(StringUtils.isBlank(seqno)){
                logger.info("----------------------interceptor 获取session的seqno为空");
                return false;
            }
        }
            return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

springmvc拦截器配置

<!--配置拦截器, 多个拦截器,顺序执行 -->
	<mvc:interceptors>
		<mvc:interceptor>
			<!-- 匹配的是url路径, 如果不配置或/**,将拦截所有的Controller -->
			<mvc:mapping path="/**"/>
			<bean class="com.intime.hr.interceptor.CSRFInterceptor"></bean>
		</mvc:interceptor>
		<!-- 当设置多个拦截器时,先按顺序调用preHandle方法,然后逆序调用每个拦截器的postHandle和afterCompletion方法 -->
		<mvc:interceptor>
			<mvc:mapping path="/**"/>
			<mvc:exclude-mapping path="/ehrlogin.htm"/>
			<mvc:exclude-mapping path="/ehrnologin.htm"/>
			<mvc:exclude-mapping path="/ehrregister.htm"/>
			<bean class="com.intime.hr.interceptor.LoginStatusInterceptor"></bean>
		</mvc:interceptor>
	</mvc:interceptors>

改完检查:

1.未登录是否可以获取接口信息

2排除拦截请求是否生效

jiwei_style
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF-Protector-PHP:CSRF保护器库
05-10
CSRF保护器 CSRF保护器php,一个独立的php库,用于缓解Web应用程序中的csrf。 易于集成到任何php Web应用程序中。 使用packagist添加到您的项目 将composer.json文件添加到您的项目目录 { " require " : { " ...
CSRF安全漏洞修复
snumous的博客
01-09 1886
CSRF安全漏洞修复
CSRF漏洞的利用及修复
G3et的博客
02-13 1085
CSRF (Cross-Site Request Forgery) 漏洞是一种 Web 应用程序的安全漏洞,它允许攻击者在用户不知情的情况下执行非法操作。CSRF 攻击通过构造恶意请求来发送给受害者,从而实现对受害者帐户的控制。这些请求看起来就像是从用户自己的浏览器发出的,因此服务器会将它们作为正常请求处理。
CSRF修复——看完的你多了一把刷子
MiaoTai
09-05 6030
近期项目对漏洞修复这一块比较看重,例举下CSRF修复之路吧(提到我就心累) 1、CSRF是什么 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大...
CSRF漏洞复现
zxcvbnmasdflzl的博客
07-07 710
如果可以,再去掉referer参数的内容,如果仍然可以,说明存在CSRF漏洞,可以利用构造外部form表单的形式,实现攻击。如果上述post方式对referer验证的特别严格,有的时候由于程序员对请求类型判断不是很严格,可以导致post请求改写为get请求,从而CSRF。直接以get请求的方式进行访问,如果请求成功,即可以此种方式绕过对referer的检测,从而CSRF。burp生成的exp有一个按钮,需要受害用户点击,改一下exp,改成直接访问链接就直接增加一个用户。如果可以,即存在CSRF漏洞。
WP-CSRF-Protector:缓解CSRF的Wordpress插件
05-10
WP CSRF保护器 WP CSRF Protector是基于旨在为wordpress提供全面的CSRF保护。 当前在wordpress中缓解CSRF要求插件开发人员调用一种方法来将随机数附加到HTML输出,因此,如果开发人员(有意或无意地)离开了那一...
spring-csrf-poc:CSRF POC项目
05-18
CSRF POC项目 链接 这是阅读蚂蚁尝试的。 如何进行一键式攻击 您可以通过更改Spring配置中的标志来禁用CSRF支持。 此更改使您可以执行一键式攻击。 为了确保它工作得很好,你需要在Spring配置文件,然后按禁用...
csrf-xhr:自动将Rails CSRF令牌添加到XMLHttpRequest标头中
05-22
csrf-xhr 自动将Rails CSRF令牌添加到XMLHttpRequest标头中。如何使用在Rails添加到页面的<meta name="csrf-token">之后的任意位置,在[removed] csrf-xhr.js加载。 从现在开始,任何目标URL为您本地来源的...
csrf-filter:用于处理 csrf 令牌的过滤器
06-18
关于跨站点请求伪造 (csrf) - 是一种对网站的恶意利用,由此从网站信任的用户传输授权的命令。 有几种类型的如何防止此类攻击: 检查 http。 使用令牌代码要求csrf-filter 使用令牌方法。 它会自动处理此类令牌...
呼叫中心系统问题——AOFAX呼叫中心系统提示授权
10-15
呼叫中心系统问题——AOFAX呼叫中心系统提示授权
web网站安全 CSRF介绍及解决方案
半夏_2021的博客
04-26 1823
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”。 是指恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事。
常见安全漏洞及修复方案-中英文版
elevn的博客
07-27 179
在设计不良的程序当中,忽略了对输入字符串中夹带的 SQL 指令的检查,那么这些夹带进去的指令就会被数据库误认为是正常的 SQL 指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。目录遍历是由于 Web 服务器或 Web 应用程序对用户输入文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过 HTTP 请求和利用一些特殊字符就可以绕过服务器的安全限制,访问任意受限的文件(可以是 Web 根目录以外的文件),甚至执行系统命令。
CSRF(Cross-Site Request Forgery)漏洞修复方案
qq_40472157的博客
05-29 468
【代码】CSRF(Cross-Site Request Forgery)漏洞修复方案。
csrf漏洞修复
最新发布
枫叶
11-24 180
通过篡改请求头中的Referer值依旧能够访问到接口。
CSRF-跨站请求伪造的原理与修复方式
bingtanggululu的博客
03-31 370
CSRF-跨站请求伪造的原理与修复方式
《WEB安全漏洞30讲》(第4讲)CSRF漏洞
午夜观星河
12-05 3393
CSRF(Cross-site request forgery),跨站请求伪造,简写 CSRF/XSRF。指利用受害者尚失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。 上文说过了CSRF漏洞不盗取用户身份信息,而是利用用户身份信息去伪装成受信任的用户来发起请求。一般情况下,
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3011
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
CSRF漏洞攻击原理及防御方案
xv7777666的博客
04-07 2312
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。但是,如果用户还退出网站A,或者当时恰巧刚访问网站A不久,他的浏览器与网站A之间的session 尚过期,浏览器的cookie 之中含有用户的认证信息。这时,悲剧发生了,这个url 请求就会得到响应,黑客就能以用户的权限修改密码,且用户毫不知情。在通常情况下,验证码能很好遏制CSRF攻击。
gin-gonic gin 安全漏洞
11-24
4. 不安全的身份认证和授权:如果身份认证和授权不严谨,攻击者可能会绕过这些机制获取非法访问权限。使用合适的身份验证和授权机制,比如JWT(JSON Web Tokens)或OAuth,以确保只有授权用户能够访问受限资源。 5....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值