jsp页面中的跨站脚本漏洞修复

最新推荐文章于 2024-05-18 18:30:00 发布
最新推荐文章于 2024-05-18 18:30:00 发布
阅读量669 收藏 4
点赞数
分类专栏: JSP 文章标签: js 跨站漏洞 脚本攻击 JSP ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laoshanbizu/article/details/84697894
版权

最近公司负责的几个系统中老有漏洞被搜出,多少都是JSP跨站脚本漏洞攻击,总结出的原因,无外呼是在跳转到JSP的页面中带有参数,然后JSP页面接收到参数后没有对一些特殊字符进行过滤,当然,还有一些其他的情况,比如,在页面中有输入框,需要用户手动输入内容时,都有可能出现这种攻击,下面是我针对JSP页面接收参数时,对参数进行过滤处理的方法,可能不全,还请大神指点!

请求链接:

http://a.b.com/login.jsp?successUrl=<script>alert(111)</script>

 参数过滤:

String successUrl =request.getParameter("successUrl");
if(StringUtil.isNotNull(successUrl)){
 	successUrl = successUrl.replaceAll("<","")//匹配尖括号
 		                   .replaceAll(">","")//匹配尖括号
 		                   .replaceAll("\"","")//匹配双引号
 		                   .replaceAll("\'","")//匹配单引号
 		                   .replaceAll("\\(.*?\\)","")//匹配左右括号
 		                   .replaceAll("[+]","");//匹配加号
}

 JSP中使用该参数:

<input type="hidden" name="hidden" id="_hidden" value="<%=successUrl%>" />

 

 

这便是一个完整的过程,希望对大家有所帮助。

蒂鸥维毅
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java跨站攻击_java防范跨站脚本攻击(XSS)
weixin_39743824的博客
02-12 346
网络心提示网有数目众多的跨站脚本攻击(XSS)漏洞,经过查看代码,认为是JSP绑定变量是未经处理直接写入的,而且整个项目这样的做法太多,因为是多年前的,不好一个个更改,参照网上资料,通过加filter对数据参数进行处理。2、打开项目lucy-xss-servlet-filter,将下载代码输出为jar包.3、将生成的jar包和lucy-xss-servlet-filter引用的jar包放入...
安全漏洞修复方法
yx1151903456的博客
05-15 1590
1.SQL注入问题(从userFunc取出来的corps和deps可以直接拼接,不存在sql注入) 2.XSS漏洞跨站脚本编制、通过框架钓鱼、连接注入) 注:并非所有参数都需要encodeForHTML编码,需要的有:页面跳转方法的String类型参数;查询数据方法的String类型且可能为文的参数;保存方法的String类型且数据库类型不是char类型的参数 3.Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Secu
XSS跨站脚本攻击漏洞修复技巧
最新发布
2401_84208172的博客
05-18 952
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的,所以我们如果是在外网或者很有危险的网络上发布程序,一般都需要对这些问题进行修复
JSP过滤器防止Xss漏洞
热门推荐
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
Java防止漏洞_jsp防止域提交数据的具体实现
weixin_34474896的博客
03-02 129
//argsisvalidfilter .java过滤器代码清单:package com.hety.uitl;import java.io.ioexception;import java.util.enumeration;import javax.servlet.filter;import javax.servlet.filterchain;import javax.servlet.filterc...
JSP安全开发之XSS漏洞详解
10-21
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其Web里面的脚本代码会被执行,从而达到恶意攻击用户...
JSP一句话后门
10-31
JSP全名为Java Server Pages,是一种基于Java技术的服务器端脚本语言,用于生成动态网页内容。JSP文件通常以.jsp后缀结尾,运行在服务器端,使用Java虚拟机(JVM)来执行脚本代码。 知识点2: 一句话后门的工作原理 ...
PHP注入+检测JSP点技术教程
07-04
1. **扫描漏洞**:使用自动化工具(如Nessus、OWASP ZAP等)扫描JSP点,查找常见的安全漏洞,如SQL注入、跨站脚本攻击(XSS)、路径遍历等。 2. **审查源代码**:获取JSP源码并分析是否存在不安全的编程习惯,如硬...
基于jsp的家庭财务管理系统源码数据库.zip
10-05
JSP页面可以包含HTML、CSS和JavaScript,以及JSP指令和脚本元素。例如,`login.jsp`处理用户登录,`addRecord.jsp`用于添加新的收支记录,`query.jsp`实现按条件查询财务数据。 4. **Servlet**: Servlet作为...
帆智能建系统基础版JSP版-basic3.zip
07-28
开发者可以在JSP页面编写Java代码(通过脚本元素或声明式动作)来处理请求、访问数据库、控制流程等,而HTML则用于定义页面结构和样式。 2. **WebModule2**: 在Java应用服务器,Web模块(Web Module)是部署...
Java Web项目抵御跨站脚本攻击(前后端共御)
啦啦啦小骑士的博客
11-12 2277
目录XSS攻击原理抵御方法针对前端代码实现 XSS攻击原理 XSS攻击攻击者利用服务器漏洞,将恶意代码以文本的形式混杂进请求数据发送给服务器存储,服务器在未来渲染视图的时候会将该恶意代码也携带进去,客户端执行恶意脚本后会造成重要信息泄露。 XSS攻击的恶意代码通常是HTML标签包裹JavaScript脚本,形如<script>alert("恶意脚本")</script>,当页面出现这种结构的文本时,浏览器会误认为是正常的标签而进行渲染。 举一个简易的例子,假设攻击者的服务器为x
jsp过滤非法字符输入 防止XSS跨站攻击
Love~jiaojiao的博客
04-12 6283
一。写一个过滤器   代码如下:   package com.liufeng.sys.filter;   import java.io.IOException; import java.io.PrintWriter;   import javax.servlet.Filter; import javax.servlet.FilterCha
反射型xss(跨站脚本攻击
EdisonJH的博客
07-12 8745
反射型xss(跨站脚本攻击) 通常人们会把跨站脚本攻击(Cross Site Scripting)缩写为CSS),但是这与浏览器的层叠样式表css会混淆,所以人们把跨站脚本攻击缩写为xss。 xss原理:其原理是攻击者向有XSS漏洞的网输入(传入)恶意的HTML代码,当用户浏览该网时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网...
java 跨站脚本filter 拦截不了表单_跨站脚本:反射式
weixin_32774233的博客
01-13 250
跨站脚本:反射式 (Cross-Site Scripting: Reflected)一、规则文名称:跨站脚本二、规则英文名称:Cross-Site Scripting三、规则子类文名称:反射式四、规则子类英文名称:Reflected五、规则概述:攻击者往Web页面里插入恶意脚本代码,当用户浏览该页面时,嵌入其脚本代码会被执行,并将结果反馈给用户,从而达到攻击者的特殊目的。六、规则...
web服务器/间件漏洞系列3:jboss漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
11-30 1605
JBOSSS简介: JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用免费使用;JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。 一、CVE-2017-12149 1、漏洞简介 漏洞类型:java 反序列化 漏洞原理: 该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件的 .
彩虹表的攻击与防御
qq_45768092的博客
10-19 1090
彩虹表的攻击与防御 通过学习本实验理解哈希算法的概念和彩虹表攻击的原理以及进行相应实战并掌握针对彩虹表攻击的防御要点。 实验简介 实验所属系列: 密码学 实验对象: 本科/专科信息安全专业 相关课程及专业: Python编程 实验时数(学分):2学时 实验类别: 实践实验类 预备知识 Hash**:**一般翻译做“散列”,也有直接音译为“哈希”的,就是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输
跨站脚本介绍——JSP
weixin_42400722的博客
07-27 664
漏洞是您的团队在软件开发过程所犯错误造成的结果 跨站脚本(Cross-Site Scripting)漏洞极为常见,七成Web应用程序受其影响。这些漏洞会产生极严重的后果,如允许攻击者窃取或篡改敏感性数据。为了避免创建不安全代码,您需要理解跨站脚本漏洞背后的机制。 我们基于计算机的培训课程(CBT)为开发人员、测试人员、项目经理和架构师准备了软件安全开发的最新知识,以培养员工的安全意识,使员工...
shiro登录成功后,没有跳转到配置的SuccessUrl
十五楼亮哥
11-13 6804
debug后跟进去观察后发现FormAuthenticationFilter成功登陆后,会调用它的onLoginSuccess方法。 protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest re...
XSS 跨站脚本攻击 的防御解决方案
东四先生的博客
03-26 1132
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 XSS的攻击原理和分类 XSS分为:存储型、反射型 、DOM型XSS 存储型XSS:存储型XSS,持久化,代码是存储在服务器的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器...
jsp如何防止xss跨站脚本攻击
06-07
JSP 可以通过以下几种方式来防止 XSS 跨站脚本攻击: 1. 输入检查和过滤:在 JSP 页面对用户输入的数据进行检查和过滤,例如过滤掉 HTML 标签和 JavaScript 代码等。 2. 输出编码:在 JSP 页面输出变量时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值