XSS安全漏洞修复解决方案

最新推荐文章于 2024-05-18 18:30:00 发布
最新推荐文章于 2024-05-18 18:30:00 发布
阅读量2.1w 收藏 24
点赞数 4
分类专栏: JAVA 文章标签: XSS漏洞修复 过滤敏感字符 filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jxp593198976/article/details/92787092
版权

背景:等保测评公司针对我系统进行了一次渗透测试,并发现存在XSS漏洞,现记录修复过程。

框架:SSM。

全站XSS:

漏洞风险等级:中危

涉及页面:全站存在内容输入处

漏洞描述:所有模块可以修改内容处存在XSS,填入恶意代码后触发。 

修复建议:过滤所有输入内容。(防止恶意弹窗/跨站脚本/过滤敏感字符/违法信息等)

 

 

解决方案

列举方案1:写个DispatcherServlet

import javax.servlet.http.HttpServletRequest;

import org.springframework.stereotype.Controller;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.DispatcherServlet;
import org.springframework.web.servlet.HandlerExecutionChain;

@SuppressWarnings("serial")
public class DispatcherServletWrapper extends DispatcherServlet {
	
	@Override
	protected HandlerExecutionChain getHandler(HttpServletRequest request) throws Exception {
		HandlerExecutionChain chain = super.getHandler(request);
		Object handler = chain.getHandler();
        if (!(handler instanceof HandlerMethod)) {
            return chain;
        }
		
        HandlerMethod hm = (HandlerMethod)handler;
        if (!hm.getBeanType().isAnnotationPresent(Controller.class)) {
        	return chain;
        }
        
        //仅处理@Controller注解的Bean
		return new HandlerExecutionChainWrapper(chain,request,getWebApplicationContext());
	}
	
}

在getHandler中返回HandlerExecutionChainWrapper

import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.util.ArrayList;
import java.util.List;

import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.BeanFactory;
import org.springframework.cglib.proxy.Enhancer;
import org.springframework.cglib.proxy.MethodInterceptor;
import org.springframework.cglib.proxy.MethodProxy;
import org.springframework.util.ReflectionUtils;
import org.springframework.util.ReflectionUtils.FieldCallback;
import org.springframework.util.ReflectionUtils.FieldFilter;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerExecutionChain;
import org.springframework.web.util.HtmlUtils;

public class HandlerExecutionChainWrapper extends HandlerExecutionChain {
	 
	private BeanFactory beanFactory;
	private HttpServletRequest request;
	private HandlerMethod handlerWrapper;
	private byte[] lock = new byte[0];
	
	public HandlerExecutionChainWrapper(HandlerExecutionChain chain,
			HttpServletRequest request,
			BeanFactory beanFactory) {
		super(chain.getHandler(),chain.getInterceptors());
		this.request = request;
		this.beanFactory = beanFactory;
	}
 
	@Override
	public Object getHandler() {
		if (handlerWrapper != null) {
			return handlerWrapper;
		}
		
		synchronized (lock) {
			if (handlerWrapper != null) {
				return handlerWrapper;
			}
			HandlerMethod superMethodHandler = (HandlerMethod)super.getHandler();
			Object proxyBean = createProxyBean(superMethodHandler);
			handlerWrapper = new HandlerMethod(proxyBean,superMethodHandler.getMethod());
			return handlerWrapper;
		}
		
	}
	
	/**
	 * 为Controller Bean创建一个代理实例,以便用于 实现调用真实Controller Bean前的切面拦截
	 * 用以过滤方法参数中可能的XSS注入
	 * @param handler
	 * @return
	 */
	private Object createProxyBean(HandlerMethod handler) {
		try {
			Enhancer enhancer = new Enhancer();
			enhancer.setSuperclass(handler.getBeanType());
			Object bean = handler.getBean();
			if (bean instanceof String) {
				bean = beanFactory.getBean((String)bean);
			}
			ControllerXssInterceptor xss = new ControllerXssInterceptor(bean);
			xss.setRequest(this.request);
			enhancer.setCallback(xss);
			return enhancer.create();
		}catch(Exception e) {
			throw new IllegalStateException("为Controller创建代理失败:"+e.getMessage(), e);
		}
	}
	
	
	public static class ControllerXssInterceptor implements MethodInterceptor {
 
		private Object target;
		private HttpServletRequest request;
		private List<String> objectMatchPackages;
		
		public ControllerXssInterceptor(Object target) {
			this.target = target;
			this.objectMatchPackages = new ArrayList<String>();
			this.objectMatchPackages.add("com.jwell");
		}
		
		public void setRequest(HttpServletRequest request) {
			this.request = request;
		}
 
 
		@Override
		public Object intercept(Object obj, Method method, Object[] args, 
				MethodProxy proxy) 
				throws Throwable {
			
			//对Controller的方法参数进行调用前处理
			//过滤String类型参数中可能存在的XSS注入
			if (args != null) {
				for (int i=0;i<args.length;i++) {
					if (args[i]==null)
						continue;
					
					if (args[i] instanceof String) {
						args[i] = stringXssReplace((String)args[i]);
						continue;
					}
					
					for(String pk:objectMatchPackages) {
						if (args[i].getClass().getName().startsWith(pk)) {
							objectXssReplace(args[i]);
							break;
						}
					}
				}
			}
			return method.invoke(target, args);
		}
		
		private String stringXssReplace(String argument) {
			return HtmlUtils.htmlEscape(argument);
		}
		
		private void objectXssReplace(final Object argument) {
			if (argument == null)
				return;
			
			ReflectionUtils.doWithFields(argument.getClass(), new FieldCallback(){
 
				@Override
				public void doWith(Field field) throws IllegalArgumentException, IllegalAccessException {
					ReflectionUtils.makeAccessible(field);
					String fv = (String)field.get(argument);
					if (fv != null) {
						String nv = HtmlUtils.htmlEscape(fv);
						field.set(argument, nv);	
					}
				}
				
			}, new FieldFilter(){
 
				@Override
				public boolean matches(Field field) {
					boolean typeMatch = String.class.equals(field.getType());
					
					if (request!=null && "GET".equals(request.getMethod())) {
						boolean requMatch = request.getParameterMap().containsKey(field.getName());
						return typeMatch && requMatch;	
					}
					
					return typeMatch;
				}
				
			});
		}
	}

web.xml 替换DispatcherServlet

<!--将org.springframework.web.servlet.DispatcherServlet替换成自己的DispatcherServletWrapper -->
<servlet>
    <servlet-name>SpringMVC</servlet-name>
    <!--安全测试  -->
    <!-- <servlet-class>com.xx.xx.bmms.web.filter.DispatcherServletWrapper</servlet-class> -->
     <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class> 
    <init-param>
      <param-name>contextConfigLocation</param-name>
      <param-value>classpath:spring-mvc-bpbj.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
    <async-supported>true</async-supported>
  </servlet>

再次测试,已解决,不过此方案本人不推荐,原因(会影响业务,谁用谁知道 哈哈~)

列举方案2:写个filter(推荐)

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter{

	FilterConfig filterConfig = null;
	
	@Override
	public void destroy() {
		// TODO Auto-generated method stub
		 this.filterConfig = null;
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
		// TODO Auto-generated method stub
		 chain.doFilter(new XssShellInterceptor( (HttpServletRequest) request), response);
	}

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		// TODO Auto-generated method stub
		 this.filterConfig = filterConfig;
	}

XssShellInterceptor类(HttpServletRequestWrapper

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssShellInterceptor extends HttpServletRequestWrapper{

	public XssShellInterceptor(HttpServletRequest request) {
		super(request);
	}

	
	public String[] getParameterValues(String parameter) {
	      String[] values = super.getParameterValues(parameter);
	      if (values==null)  {
	                  return null;
	          }
	      int count = values.length;
	      String[] encodedValues = new String[count];
	      for (int i = 0; i < count; i++) {
	                 encodedValues[i] = cleanXSS(values[i]);
	       }
	      return encodedValues;
	    }
	    public String getParameter(String parameter) {
	          String value = super.getParameter(parameter);
	          if (value == null) {
	                 return null;
	                  }
	          return cleanXSS(value);
	    }
	    public String getHeader(String name) {
	        String value = super.getHeader(name);
	        if (value == null)
	            return null;
	        return cleanXSS(value);
	    }
	    
	    //过滤规则 目前我只配了过滤 script 
	    private String cleanXSS(String value) {
	        //value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
	        //value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
	        //value = value.replaceAll("'", "& #39;");
	        //value = value.replaceAll("eval\\((.*)\\)", "");
	        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
	        value = value.replaceAll("script", "");
	        return value;
	    }
	
}

web.xml 添加filter

<filter>
    	<filter-name>XssFilter</filter-name>
     	<filter-class>com.xx.xx.bmms.web.filter.XssFilter</filter-class>
  </filter>
  <filter-mapping>
	   <filter-name>XssFilter</filter-name>
       <url-pattern>/*</url-pattern>  
  </filter-mapping>

再次测试,已解决。注意:如果web.xml中有多个filter 注意执行顺序。

江湖见
关注
  • 4
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
XSS安全漏洞的几种修复方式
markbug的博客
03-26 2万+
什么是XSS跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,跨站脚本攻击指的是恶意攻击者往Web页面里插入恶意的html,javaScript代码,当用户浏览该页之时,嵌入其中Web里面的html,javaScript代码会被执行,从而达到恶意的特殊目的,如,盗取用户Cook
XSS漏洞修复方案
若明天不见
07-19 2万+
XSS漏洞介绍、XSS危害及相关修复方案 XSS的原理是WEB应用程序混淆了用户提交的数据和脚本的代码边界,导致浏览器把用户的输入当成了脚本代码来执行。XSS的攻击对象是浏览器一端的普通用户。
xss漏洞原因以及如何应对
风烟
01-26 9013
场景一:获取URL参数含有脚本执行 比如我们需要获取URL中某个参数,然后输出到页面当中 比如链接是http://xxx?search="><script>alert('xss')</script>这种,我们解析search参数拼接html的之后直接用了这个参数,这个时候浏览器不知道是恶意代码,直接就执行了, <div> xxx: "><script>alert('xss')</script> </div> 这
XSS跨站脚本攻击漏洞修复技巧
最新发布
2401_84208172的博客
05-18 956
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的,所以我们如果是在外网或者很有危险的网络上发布程序,一般都需要对这些问题进行修复
xss漏洞修复建议/方法
小雨的博客
05-10 1万+
1. html encoding 跨站点脚本漏洞最有效的解决方案是对用户受影响输出进行 HTML encoding。 应用程序应该对:直接源自用户输入的值、可能受用户影响的值、受用户影响的数据存储库值(数据库、日志、文件等)或可能具有的任何其他信息的任何输出进行编码。 在将这些值包含在发送给用户的输出中之前,应通过数据清理组件(编码器)处理此信息,该组件替换其 HTML 表示中的非字母数字字符。此操作确保每个脚本都将呈现给用户,而不是在用户的浏览器中执行。 这些信息在传输中应该执行净化:替换掉
【Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 5005
【Java代码审计】XSS漏洞产生原理及其修复
xss漏洞修复踩坑总结
BHSZZY的博客
05-18 3182
一、前言 最近测试发现系统某个接口有个xss漏洞,比如,保存数据入库时,会把<a>标签保存入库;然后查看列表时,会把<a>标签显示出来; 说是这个漏洞可以构建恶意链接,点击会跳转到恶意网址,让修复掉。 二、修复方法:前端修复 这个问题之前也遇到过,于是就按照之前的修复方法,让前端加一个xss.js,过滤掉不合法的标签后,再把数据传给后台。 谁知道这次不行了,测试直接抓包,用postman直接给后台发送含有<a>标签的请求,结果又存入数据库了。 如果从前端输入含有<a
WEB漏洞-XSS跨站脚本漏洞解决方案
踮脚敲代码
01-11 4535
一、测试过程 通过手工测试,构造用户可控参数访问,发现网站部分页面对用户可控参数未做过滤限制,存在XSS跨站脚本漏洞,测试如下: POST /task/notepad/insertNotepad HTTP/1.1 Host: www.xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: */* Accept-Language: zh-CN,zh;q=0.8,e
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类...
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
XSS跨站脚本攻击漏洞修复方法
06-18
**XSS跨站脚本攻击漏洞修复方法** XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将...
xss解决方案.zip
03-13
本方案用以解决xss跨站脚本攻击,解决思路为常用的对request进行包装,重写request中的相关方法
SQL+XSS漏洞修复方案
04-13
近期公司的项目遭受了SQL+XSS攻击(市面上现在检测工具很多如:AWVS/360等),现贴出项目中的修复核心代码,需要的可以参考一下
常见WEB安全漏洞及整改建议.docx
11-25
本文档主要总结了常见的web的安全漏洞及处理办法,这些基本上都是我们做项目过程中发现并处理过得,希望能帮助到大家!
360webscan解决xss漏洞
05-26
文件"360safe"可能是360提供的安全报告或修复工具,使用它可以帮助我们更有效地识别和解决XSS漏洞。具体使用方法需要根据文件的实际情况来确定,通常这类工具会提供详细的指南和步骤。 总的来说,解决360 webscan...
springboot整合XSS
03-20
Spring Security是Spring Boot推荐的安全管理框架,它提供了一套完整的安全解决方案,包括XSS防护。首先,我们需要在Spring Boot项目中引入Spring Security依赖: ```xml <groupId>org.springframework.boot ...
XSS 攻击的检测和修复方法
Java徐师兄的博客
07-13 2771
XSS 攻击是一种常见和危险的 Web 攻击,开发者需要对输入数据进行过滤和转义,使用安全的编程语言和框架以及安全的数据库操作,采用 CSP 等措施来防止 XSS 攻击。同时,用户也需要注意不要轻易点击不明来源的链接,避免被诱导访问恶意网站,从而保护自己的信息安全。// 去除输入数据中的 HTML 和 PHP 标签 $data = strip_tags($data);
XSS攻击及防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
关于XSS漏洞修复
weixin_30251829的博客
05-07 376
  XSS即恶意脚本攻击漏洞,详细的描述网上介绍的很详细。我说一下自己在工作中对这种漏洞修复方案,仅供参考。   第一阶段:使用ESAPI   这是一个Apache开发的安全组件,主要用于解决SQL注入和恶意脚本注入。   使用ESAPI防止XSS攻击时,首先应当配置过滤器(注意在过滤器中chain.doFilter(..)方法中的Request对象进行包装,在包装类中对请求参数进行筛选操...
web安全漏洞加固手册v2.0
07-22
### 回答1: 《Web安全漏洞加固手册v2.0》是一本针对web安全漏洞的加固手册。这本手册涵盖了许多常见的web安全漏洞,并提供了详细的加固方法和技巧。 这本手册的主要目的是帮助开发人员和网络管理员加强他们的网站和应用程序的安全性。它提供了一系列的安全措施和建议,以减少常见的漏洞和攻击面。 手册中首先介绍了一些web安全的基础知识,如跨站脚本攻击(XSS)、SQL注入、跨站请求伪造(CSRF)等。然后详细介绍了这些漏洞的工作原理和可能的攻击场景。接下来,手册提供了一系列的加固措施和建议,以避免这些漏洞的利用。 手册中的加固方法包括输入验证、输出编码、会话管理、访问控制、密码安全等方面。它提供了具体的代码示例和配置建议,以帮助开发人员和网络管理员快速理解和实施这些安全措施。 除了加固方法,手册还提供了一些常见的安全测试工具和技术,以帮助用户评估他们的网站和应用程序的安全性。这些工具和技术包括漏洞扫描器、渗透测试、安全审计等。 总的来说,《Web安全漏洞加固手册v2.0》是一本非常有用的指南,可以帮助开发人员和网络管理员提高其网站和应用程序的安全性。它提供了详细的加固方法和技巧,以及一些常见的安全测试工具和技术。使用这本手册可以增强对web安全漏洞的防范和应对能力。 ### 回答2: Web安全漏洞加固手册(v2.0)是一份指导开发人员和网站管理员加强网站安全的手册。该手册包含了识别和解决常见Web安全漏洞的方法和建议。 首先,手册详细介绍了各种常见的Web安全漏洞,如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、SQL注入、文件上传漏洞等。手册通过详细解释漏洞的原理和攻击方式,帮助开发人员更好地了解这些漏洞的风险和潜在威胁。 其次,手册提供了加固漏洞的方法和建议。对于每种漏洞,手册列出了相应的修复措施和最佳实践,包括输入验证、输出转义、使用安全密码存储、限制访问权限等。这些方法和建议可以帮助开发人员及时修复漏洞、提高网站的安全性。 此外,手册还介绍了与Web安全相关的其他主题,如安全的会话管理、HTTP安全策略(CSP)配置、安全的加密传输(SSL/TLS)、安全的第三方API使用等。这些内容进一步提升了开发人员对Web安全的认识,并提供了相应的解决方案。 需要注意的是,Web安全是一个动态的领域,安全威胁和攻击技术不断演变。因此,手册还提供了定期更新和加固的建议,以保持技术的时效性和有效性。 总之,Web安全漏洞加固手册v2.0是一个全面指导开发人员加强Web安全的资源。通过遵循手册中的方法和建议,开发人员可以最大程度地减少Web安全漏洞的风险,并提高网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值