存储型跨站脚本漏洞校验

最新推荐文章于 2024-05-13 13:45:23 发布
最新推荐文章于 2024-05-13 13:45:23 发布
阅读量2.9k 收藏
点赞数
分类专栏: JAVA 文章标签: java 漏洞 安全漏洞 存储型跨站脚本漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kzhzhang/article/details/122260158
版权

存储型跨站脚本漏洞校验:将用户输入的数据输出时,未对其中的特殊字符进行过滤及转义,使客户端浏览器将攻击者提供的数据当作代码执行。

攻击者可利用该漏洞在客户端执行任意JavaScript脚本。

package cn.tongmap.utility;

import java.util.regex.Matcher;
import java.util.regex.Pattern;

/**
 * 存储型跨站脚本漏洞校验
 * @author lxzqz
 *
 */
public class XssUtil {
	private static Pattern[] patterns = new Pattern[] {
			Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE),
			Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
			Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
			Pattern.compile("</script>", Pattern.CASE_INSENSITIVE),
			Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
			Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
			Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
			Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE),
			Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE),
			Pattern.compile("[\\s\'\"]+", Pattern.CASE_INSENSITIVE),
			Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
			Pattern.compile("alert(.*?)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
			Pattern.compile("<", Pattern.MULTILINE | Pattern.DOTALL),
			Pattern.compile(">", Pattern.MULTILINE | Pattern.DOTALL),
			Pattern.compile("(<(script|onerror|iframe|embed|frame|frameset|object|img|applet|body|html|style|layer|link|ilayer|meta|bgsound))") };


	/**
	 * 校验参数是否存在xss漏洞可疑
	 *
	 * @param value 需要校验的字符
	 * @return 返回值:true 表示存在xss漏洞,false:不存在
	 */
	public static boolean check(String value) {
		boolean isXss = false;
		if (value != null) {
			for (Pattern scriptPattern : patterns) {
				Matcher matcher = scriptPattern.matcher(value);
				if (matcher.find()) {
					isXss = true;
					break;
				}
			}
		}
		return isXss;
	}

}

链诸葛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
脚本漏洞
weixin_46729085的博客
09-08 3751
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? 二:三大分类 反射XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储XSS:&...
脚本入侵技术概述分析三
08-25
1. 存储XSS:恶意脚本存储在服务器上,当其他用户访问包含该脚本的页面时,脚本会被执行。 2. 反射XSS:恶意脚本作为URL参数的一部分,用户点击链接或者被引导至含有恶意脚本的页面时,脚本被执行。 3. DOM...
web存储脚本漏洞验证特殊字符和语句
01-08
这是存储脚本验证的一些特殊语句,可以用来查看内网、系统、app、web是否存在XSS漏洞
脚本(XSS)漏洞
梁辰兴的博客
06-07 4894
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类: 1.反射性XSS; 2.存储XSS; 3.DOMXSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、用户cookie获取。甚至可以结合浏览器自身漏洞对用户主机进行远程控制等。形
脚本(XSS)漏洞_脚本漏洞
最新发布
jennycisp的博客
05-13 1174
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类:1.反射性XSS;2.存储XSS;3.DOMXSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、用户cookie获取。
常见安全漏洞修复
w_t_y_y的博客
06-10 1106
一、存储xss: 1、介绍:将脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将脚本攻击缩写为XSS。 2、危害: (1)、盗用cookie,获取敏感信息。 (2)、利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 (3)、利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)
漏洞篇(XSS 脚本攻击一)
m0_58001548的博客
04-08 1950
1、Cookie 概述:Cookie 是一些数据, 存储于你电脑上的文本文件中。当 web 服务器向浏览器发送 web 页面时,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 "如何记录客户端的用户信息":(1)、当用户访问 web 页面时,他的名字可以记录在 cookie 中。2)、在用户下一次访问该页面时,可以在 cookie 中读取用户访问记录。Cookie 以键值对形式存储,如下所示:
XSS 存储漏洞修复
热门推荐
qq_26244285的博客
01-20 1万+
收到检查报告,说是有xss 存储漏洞,百度看了很多资料总结两句话 1、保存数据库内容需要过滤 2、设置过滤器 思路:我们需要一个过滤前在Controller方法调用前对所有参数进行检查,过滤替换。 过滤》替换非法参数》继续Controller调用。 网上得思路基本是替换,没看到拒绝请求,因为过滤得检查很多很容易被拒绝非常不友好 做法spring拦截器:检查非法内容或特定内容拒绝请求,使用sprintboot得做法很简单,做一个aop切面定义一个定义一个拦截器 import javax..
渗透测试技术----常见web漏洞--脚本攻击原理及防御
wwl012345的博客
08-16 3154
一、脚本攻击介绍 1.脚本攻击简介 脚本攻击(Cross-Site Scripting)简称为XSS(本来为CSS,但是与前端语言CSS容易产生歧义,故取名为XSS),XSS是一种针对于网应用程序(Web客户端)的安全漏洞攻击技术,是代码注入的一种,它允许攻击者将恶意JS代码注入到网页,这样其他用户在访问网页时就会受到影响。攻击者利用XSS代码攻击成功后,可能得到一些高权限来执行一...
存储脚本漏洞,过滤特殊字符, SpringMvc防范XSS攻击。
weixin_42267411的博客
09-26 2088
公司最近在搞测试,请的第三方测试机构。。。一顿操作猛如虎。。。 记录一次现在很多项目都容易忽略的存储脚本漏洞处理,就是XSS攻击漏洞,只要有用户输入的地方,就可能会有XSS漏洞,比如我们在留言板,或者发布文章的地方输入: <script>alert(1);</script> 当这条数据被存储到数据库,并且在页面上再次显示的时候,就会弹窗输出“1”,这只是简单的sc...
ASP源码—修补脚本攻击漏洞.zip
11-03
- 存储XSS:恶意脚本存储在服务器上,例如在用户评论区,当其他用户查看该内容时,脚本被执行。 - 反射XSS:恶意脚本作为URL参数传递,受害者必须点击特殊构造的链接才能触发。 - DOMXSS:通过修改页面的...
各种安全漏洞术语及其解释
03-10
2. 脚本攻击(Cross-Site Scripting, XSS):XSS分为反射存储和DOM。攻击者利用网没有正确过滤用户输入,将恶意脚本嵌入到网页中,当其他用户访问时,脚本被执行,可能导致信息泄露或被控制。 3. ...
脚本入侵专题(包括国内国外的一些文档)
12-11
2. 存储XSS:恶意脚本存储在服务器上,当其他用户访问包含该脚本的页面时,脚本会自动执行。 3. DOMXSS:不依赖服务器,而是通过修改网页的DOM(Document Object Model)结构,使得恶意脚本在用户浏览器中运行...
椰树1.7web漏洞扫描神器
08-08
椰树1.7会检查输入字段,查找可能的XSS漏洞,包括存储XSS(数据持久化在服务器上)、反射XSS(数据在URL中传递)和DOMXSS(通过修改DOM文档对象模实现)。 三、文件包含漏洞 文件包含漏洞通常出现在程序...
XSS脚本安全漏洞防护
Zyw907155124的博客
06-05 1636
存储XSS是指应用程序通过Web请求获取不可信赖的数据,并且在未检验数据是否存在XSS代码的情况下,将其存入数据库。存储XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储XSS攻击。如果address的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储XSS攻击。
脚本漏洞XSS
qq_48904485的博客
03-22 8398
一、XSS脚本基础 1、XSS漏洞介绍 脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2、XSS漏洞原理 形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执
【WEB漏洞原理】XSS 脚本攻击
过期的秋刀鱼
08-26 2259
当用户访问被XSS 脚本注入过的网页,XSS 脚本就会被提取出来,用户浏览器就会解析执行这段代码,也就是说用户被攻击了。DOM XSS 是一种XSS 攻击,其中攻击的代码是由于修改受害者浏览器页面的DOM 树而执行的。搜索框、登录框、微博、留言板、聊天室等等收集用户输入的地方,都有可能被注入XSS 代码,都存在遭受XSS 的风险。XSS 攻击目标是客户端浏览器用户,由于浏览器的类别不同,攻击效果不同,甚至于同一款浏览器,攻击效果都不一样。浏览器的类,版本等因素都会影响XSS 的效果。
Java过滤XSS脚本攻击记录一下
qq_41665452的博客
05-11 2452
背景 之前公司信息安全部门对公司项目进行网络安全升级时,发现项目里可能会出现XSS脚本攻击漏洞,所以就需要对其参数进行过滤拦截。 XSS 百度百科:XSS攻击全称:cross site scripting(这里是为了和CSS区分,所以叫XSS),脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本
脚本(XSS)漏洞 (一)
_Co1a
12-24 796
脚本(XSS)漏洞 脚本漏洞概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类: 1.反射性XSS; 2.存储XSS; 3.DOMXSS; XSS漏洞一直被评估为web漏洞中危害比较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。 XSS是一种发生在Web前端的漏洞,所以其危害的对象也主要是前端用户。 形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精
Bootstrap 脚本漏洞
07-13
脚本攻击(Cross-Site Scripting,XSS)是一种常见的网络安全漏洞,它允许攻击者向受害者的网页注入恶意脚本代码。 在使用 Bootstrap 或任何其他前端框架时,避免脚本漏洞非常重要。以下是一些防范 XSS ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

链诸葛

真爱了。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值