简单的xss检测

最新推荐文章于 2024-02-22 23:38:49 发布
最新推荐文章于 2024-02-22 23:38:49 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: Spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lj1404536198/article/details/110929872
版权

创建xss检测工具类XssUtil

public class XssUtil {

    private static final Logger logger = LoggerFactory.getLogger(XssUtil.class);

    private static List<Pattern> patterns = null;

    /**
     * @return
     */
    private static List<Object[]> getXssPatternList() {
        List<Object[]> ret = new ArrayList<Object[]>();
        ret.add(new Object[] { "<(no)?script[^>]*>.*?</(no)?script>", Pattern.CASE_INSENSITIVE });
        ret.add(new Object[] { "eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] { "expression\\((.*?)\\)",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] { "javascript:|vbscript:|view-source:", Pattern.CASE_INSENSITIVE });
        ret.add(new Object[] { "<(\"[^\"]*\"|\'[^\']*\'|[^\'\">])*>",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] { "window\\.|\\.location|document\\.|alert\\(|window\\.open\\(",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] {
                "<+\\s*\\w*\\s*(oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|οnerrοr=|onerroupdate|onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onload|onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload)+\\s*=+",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        return ret;
    }

    /**
     * @return
     */
    private static List<Pattern> getPatterns() {
        if (patterns == null) {
            List<Pattern> list = new ArrayList<Pattern>();
            String regex = null;
            Integer flag = null;

            for (Object[] arr : getXssPatternList()) {
                if (arr.length != 2) {
                    continue;
                }
                regex = (String) arr[0];
                flag = (Integer) arr[1];
                list.add(Pattern.compile(regex, flag));
            }
            patterns = list;
        }

        return patterns;
    }

    /**
     * 过滤掉xss字符串
     *
     * @param value
     * @return
     */
    public static String stripXss(String value) {
        if (!StringUtil.isEmpty(value)) {
            Matcher matcher = null;

            for (Pattern pattern : getPatterns()) {
                matcher = pattern.matcher(value);
                // 匹配
                if (matcher.find()) {
                    // 删除相关字符串
                    value = matcher.replaceAll("");
                }
            }
            value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        }
        return value;
    }

    /**
     * 是否存在xss
     *
     * @param value
     * @return
     */
    public static void checkXss(String value) {
        if (!StringUtil.isEmpty(value)) {
            Matcher matcher = null;

            for (Pattern pattern : getPatterns()) {
                matcher = pattern.matcher(value);
                // 匹配
                if (matcher.find()) {
                    logger.warn(String.format("存在非法字符[%s]", value));
                    throw new Exception(ErrorCode.SERVER_BIZ_PARAMETER_ERROR, "数据非法!");
                }
            }

        }
        return;
    }

    /**
     * SQL注入过滤
     * @param value:待验证的字符串
     */
    public static void checkSqlInject(String value) {
        if (StrUtil.isEmpty(value)) {
            return;
        }

        // Pattern pattern= Pattern.compile("\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%)");

        Pattern pattern= Pattern.compile("\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b");
        Matcher matcher=pattern.matcher(value);
        if(matcher.find()){
            throw new Exception(ErrorCode.SERVER_BIZ_PARAMETER_ERROR, "数据非法");
        }
    }

创建文件XssHttpServletRequestWrapper.java

import org.apache.commons.lang.StringEscapeUtils;
import org.apache.commons.lang.StringUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.LinkedHashMap;
import java.util.Map;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private HttpServletRequest orgRequest;

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        orgRequest = request;
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(xssEncode(name));
        if (StringUtils.isNotBlank(value)) {
            value = xssEncode(value);
        }

        return StringEscapeUtils.unescapeHtml(value);
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] parameters = super.getParameterValues(name);
        if (parameters == null || parameters.length == 0) {
            return null;
        }

        for (int i = 0; i < parameters.length; i++) {
            parameters[i] = xssEncode(parameters[i]);
            parameters[i] = StringEscapeUtils.unescapeHtml(parameters[i]);
        }
        return parameters;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> map = new LinkedHashMap<String, String[]>();
        Map<String, String[]> parameters = super.getParameterMap();
        for (String key : parameters.keySet()) {
            String[] values = parameters.get(key);
            for (int i = 0; i < values.length; i++) {
                values[i] = xssEncode(values[i]);
                values[i] = StringEscapeUtils.unescapeHtml(values[i]);
            }
            map.put(key, values);
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(xssEncode(name));
        if (StringUtils.isNotBlank(value)) {
            value = xssEncode(value);
        }

        return StringEscapeUtils.unescapeHtml(value);
    }

    private String xssEncode(String input) {
        XssUtil.checkXss(input);
        XssUtil.checkSqlInject(input);
        return input;
    }

    /**
     * 获取最原始的request
     */
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    /**
     * 获取最原始的request
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest request) {
        if (request instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) request).getOrgRequest();
        }

        return request;
    }

}

创建XssFilter.java

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class XssFilter implements Filter {

    @Override
    public void init(FilterConfig config) throws ServletException {
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
                (HttpServletRequest) request);
        chain.doFilter(xssRequest, response);
    }

    @Override
    public void destroy() {
    }

}

在web.xml中添加拦截器

    <filter>
        <filter-name>xssFilter</filter-name>
        <filter-class>com.as.web.filter.XssFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>xssFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
leventse
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS漏洞检测工具
06-11
XSS漏洞检测工具,Linux下安装使用,很简单 Examples of usage: ============================== * Simple injection from URL: $ python XSSer.py -u "http://host.com" ------------------- * Simple injection from File, with tor proxy and spoofing HTTP Referer headers: $ python XSSer.py -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "666.666.666.666" ------------------- * Multiple injections from URL, with automatic payloading, using tor proxy, injecting on payloads character encoding in "Hexadecimal", with verbose output and saving results to file (XSSlist.dat): $ python XSSer.py -u "http://host.com" --proxy "http://127.0.0.1:8118" --auto --Hex --verbose -w ------------------- * Multiple injections from URL, with automatic payloading, using caracter encoding mutations (first, change payload to hexadecimal; second, change to StringFromCharCode the first encoding; third, reencode to Hexadecimal the second encoding), with HTTP User-Agent spoofed, changing timeout to "20" and using multithreads (5 threads): $ python XSSer.py -u "http://host.com" --auto --Cem "Hex,Str,Hex" --user-agent "XSSer!!" --timeout "20" --threads "5"
Java、SpringBoot简易XSS检测工具,参数校验注解
gg5461849的博客
05-05 902
【代码】Java、SpringBoot简易XSS检测工具,参数校验注解。
Java代码审计】XSS漏洞
qq_48201589的博客
02-22 531
XSS(Cross Site Scripting,为了和层叠样式表(Cascading Style Sheet,CSS)有所区分,故称XSS)跨站脚本攻击是一种针对网站应用程序的安全漏洞攻击技术。它可以实现用户会话劫持、钓鱼攻击、恶意重定向、点击劫持、挂马、XSS蠕虫等。 XSS攻击类型可以分为:反射型、存储型、DOM型。
xss攻击字符过滤器 Java_使用Filter过滤器解决XSS跨脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 931
JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
安全测试之xss漏洞的检测与防御
HSS919的博客
03-13 4415
手工检测重点要考虑数据输入的地方,且需要清楚输入的数据输出到什么地方。在检测的开始,可以输入一些敏感字符,比如“、()”等,提交后查看网页源代码的变化以发现输入被输出到什么地方,且可以发现相关敏感字符是否被过滤。手工检测结果相对准确,但效率较低。
XSS检测Java源码
Little Boy
08-31 2126
1、跨站脚本的概念 这里就不多说了,可以百度。或者去看: 邱永华. XSS 跨站脚本攻击剖析与防御[J]. 中国科技信息, 2013, 20: 079. 吴翰清. 白帽子讲 Web 安全[J].信息安全与通信保密, 2015 (5): 93. 2.防御框架 自己查阅了文献参考了网上一些代码,自己实现了一套防御框架。 防御框架结构图如下如所示:
安全测试之xss攻击通用测试用例
m0_70669463的博客
07-05 1452
XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。
XSS简易了解与测试
qq_53065516的博客
03-15 2016
XSS 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一:XSS是什么二、XSS包含类型以及攻击原理1:类型2:攻击原理2.1:反射型:2.2:存储型:2.3:DOM型:三、实战例子1.引入库2.读入数据总结 一:XSS是什么 XSS是跨站脚本攻击,它真正的缩写是CSS,但为了与层叠样式表CSS混淆,简称为XSS 要了解到,他的原理就是它可以使得攻击者向网页中注入恶意代码,导致用户浏览器在加载网页,渲染HTML文档时会执行攻击者的恶意代码 本文主要对XSS进行一个了解,以及
Web安全:XSS漏洞的测试(防止 黑客利用此漏洞.)
热门推荐
网络安全领域___专研者.
03-17 1万+
XSS漏洞的概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
XSS:漏洞的检测与防御
我乐了的博客
01-30 1035
如果在官方修复前,那个 XSS 漏洞已经被恶意利用了,那即使已经通过输入检查方法修复了,被插入的恶意代码仍会存在,这可以认为是修复不彻底的表现。PhantomJS:已停止维护。DOM XSS 的扫描相比常规 XSS 要难一些,主要是针对 JS 代码的分析,如果只是简单的正则匹配,就很容易误报漏报。不同的语言有不同的特性,在源码审计时需要采取不同的检测点,但有一个共同的思路,那就是。有时我们也会反着来:先查看一些危险的输出函数,再回溯它的参数传递,判断是否有未经过滤的用户输入数据,若有就代表可能存在漏洞。
xss检测和绕过方法
ylcangel的专栏
03-03 6978
xss 测试步骤: 1、输入一个几乎不出现的字符串在应用程序中,以其作为每个页面的每一个参数,且每次只针对一个参数, 监控程序响应,看是否出现同样字符串,然后替换字符串为脚本,在进行测试。 2、进行避开过滤测试。 3、post发现xss,要用burp的get同样继续测试. 4、对http消息头进行测试。 实例(如输入myxsstest),进行这些测试时必须对任何特殊字符如&amp;,=+;和空格...
taint:Taint是一个PHP扩展,用于检测XSS代码
01-30
php扩展名,用于检测XSS代码(污染的字符串),还可以用于发现sql注入漏洞,shell注入等。 这个想法来自 ,我在php扩展中实现了它,不需要使用补丁。 请注意,请勿在产品环境中启用此扩展程序,因为它会降低您的...
基于EBNF和二次爬取策略的XSS漏洞检测技术
04-30
跨站脚本(XSS)攻击是目前互联网安全的最大威胁之一。针对传统基于渗透测试技术的漏洞检测方法中攻击向量复杂度低易被...通过对比实验证明,该系统检测流程简单,在一定程度上提高了漏洞检测数,降低了漏洞误报率。
调查:XSS攻击Web应用程序-研究论文
05-20
交叉脚本(XSS)是Web应用程序的重大风险,因为它是对Web应用程序的基本而简单的攻击。 Xss为攻击设置了平台,例如跨站点请求会话劫持,伪造...等。 XSS攻击是一种注入攻击,其中攻击者在客户端程序的用户端或...
Python-XanXSS一个简单XSS查找工具
08-10
XanXSS一个简单XSS 查找工具
电子、通信、计算机大类学生课程实验的心得体会
05-01
电子、通信、计算机大类学生课程实验的心得体会 电子、通信、计算机大类的学生课程实验是工科教育中非常重要的一环,它不仅能够加深学生对理论知识的理解,还能培养学生的实践能力和创新思维。
【营销】任务一金融产品与金融产品营销认识.docx
05-01
【营销】任务一金融产品与金融产品营销认识.docx
单片机课程实验-秒表实现
05-01
1.了解LED数码管的工作原理,为秒表时钟模块的实现打下基础。 LED数码管是一种常用的数字显示器件,通过控制每个LED的亮灭来显示数字。在秒表时钟模块中,我们需要利用LED数码管的这一特性,通过单片机控制数码管的显示,从而实现时钟的功能。因此,了解LED数码管的工作原理对于实现秒表时钟模块至关重要。 2.掌握51单片机与LED数码管的接口技术,是实现秒表时钟模块的关键。 51单片机是一种常用的微控制器,可以通过接口与外部设备进行通信。在秒表时钟模块中,我们需要通过单片机与LED数码管之间的接口,控制数码管的显示。因此,掌握51单片机与LED数码管的接口技术是实现秒表时钟模块的关键。在实际操作中,我们需要根据接口协议和数据传输方式,编写相应的程序来控制数码管的显示。 3.合理利用定时器/计数器,是实现秒表时钟模块的效率保障。 在秒表时钟模块中,我们需要实现计时功能,这需要使用到定时器/计数器。定时器/计数器可以用来产生计时脉冲,从而控制秒表的计时。通过合理利用定时器/计数器,可以提高秒表时钟模块的计时精度和效率。在实际操作中,我们需要根据具体的应用场景和需求,选择合适的定时器/计数器参
基于LSTM的SDN流量预测与负载均衡python源码+详细注释+数据.zip
最新发布
05-01
个人98分期末大作业项目,代码完整下载可用。主要针对计算机相关专业的正在做课程设计和期末大作业的学生和需要项目实战练习的学习者。包含全部项目源码、该项目可以直接使用、项目都经过严格调试,下载即用确保可以运行!
xss检测脚本
05-26
以下是一个简单XSS检测脚本: ```javascript var input = prompt("请输入需要检测的文本:"); var div = document.createElement("div"); div.innerHTML = input; var sanitized = div.innerText || div....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值