项目安全 XSS攻击

最新推荐文章于 2021-05-30 15:30:50 发布
最新推荐文章于 2021-05-30 15:30:50 发布
阅读量384 收藏
点赞数
分类专栏: 项目安全 文章标签: 项目安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38068812/article/details/89298217
版权
XSS攻击
1.OWASP----预防xss

OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。协助我们在日常的软件应用中能够更加使软件可信赖,和安全。我们在日常软件的开发的过程中,此组织也能为我们提供很多的解决方案及其安全标准

2.安全攻击

1 、DDos攻击
其最明显的特点就是发送大量的攻击数据包,消耗网络带宽资源,影响正常用户的访问。打个比方,每次传输只能是1k的包进行传输,但是ddos攻击,机会一次性发送大量10M的包,导致传输堵塞,大量等待,消耗资源
简单的解决方案:当遇到这种大量数据包,可以让他直接跳转到其他页面或者阐述通道
2.SQL注入攻击
Web页面查询时,恶意注入如:"1’ OR ‘1’='1"或者脚本。因此达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。
简单的解决办法:后台使用预编译,可以 以通过数据库防火墙实现对SQL注入攻击的防范,同时后台对请求域中的参数进行校验

/**
 *防止SQL注入,对请求域中的参数进行校验拦截
 */
public class SqlFilterUtil
{
    
    private static final Logger LOG = LoggerFactory.getLogger(SqlFilterUtil.class);
    
    //SQL的注入关键字符,正则
    private static String[] badSqlRegs = {
        //"\"", //传json数据时会有双引号,不拦截
        "\\|", "[gG][rR][oO][uU][pP]_[cC][oO][nN][cC][aA][tT]", "[Tt][aA][bB][lL][eE]_[Ss][Cc][Hh][Ee][Mm][Aa]", "#",
        "exec", "\\d{1,10}\\s*+[>=<]\\s*+\\d{1,10}", "[iI][nN][sS][eE][rR][Tt]\\s++", "[dD][eE][lL][eE][Tt][eE]\\s++",
        "[Uu][Pp][Dd][Aa][Tt][Ee]\\s++", "[Dd][Rr][Oo][Pp]\\s++", "[Ww][Hh][Ee][Rr][Ee]\\s++", "\\s++[Oo][Rr]\\s++",
        "[Oo][Rr][Dd][Ee][Rr]\\s++[Bb][Yy]\\s++", //order by   \\s++表示隔了一个或者多个空白字符(\t\n\x0B\f\r)  
        "[Tt][Rr][Uu][Nn][Cc][Aa][Tt][Ee]\\s++", "[Ee][Xx][Ee][Cc]\\s++", "[Cc][Oo][Uu][Nn][Tt]\\(",
        "[Dd][Ee][Cc][Ll][Aa][Rr][Ee]\\s++", "[Aa][Ss][Cc]\\(", "[Dd][Ee][Ss][Cc]\\(", "[Mm][Ii][Dd]\\(",
        "[Cc][Hh][Aa][Rr]\\(", "[Uu][Nn][Ii][Oo][Nn]\\s++", "---*+\\s*+", //    --   sql的注释符, *+表示0个或多个
        "'*+\\s++[Aa][Nn][Dd]\\s++'*.*[>=<].*", //匹配如: ' AND f%='ffdse4555' 这种sql注入参数
        "[Ii][Nn]\\s*+\\(", "[Nn][Ee][Tt]\\s++[Uu][Ss][Ee][Rr]", "[Xx][Pp]_[Cc][Mm][Dd][Ss][Hh][Ee][Ll][Ll]",
        "[Nn][Ee][Tt]\\s++[Ll][Oo][Cc][Aa][Ll][Gg][Rr][Oo][Uu][Pp]\\s++[Aa][Dd][Mm][Ii][Nn][Ii][Ss][Tt][Rr][Aa][Tt][Oo][Rr]",};
    
    public boolean judgeSqlInject(HttpServletRequest request)
    {
        String badParamVal = "";
        boolean findBadParam = false;
        //获得所有请求参数名  
        Enumeration<String> params = request.getParameterNames();
        ok: while (params.hasMoreElements())
        {
            //得到参数名  
            String name = params.nextElement();
            //得到参数对应值  
            String[] values = request.getParameterValues(name);
            if (values == null || values.length == 0)
            {
                continue;
            }
            for (String paramVal : values)
            {
                if (hasInjectionSql(paramVal))
                {
                    badParamVal = paramVal;
                    findBadParam = true;
                    break ok; //跳出多重循环
                }
            }
        }
        
        if (findBadParam)
        {
            LogUtils.errorLog(LOG, "the request params contains sql keywords! ", null);
        }
        
        return findBadParam;
    }
    
    /**
     * <判断request域中参数值是否有sql注入的特殊字符>
     * <功能详细描述>
     * @param paraValStr
     * @return [参数说明]
     *
     */
    private boolean hasInjectionSql(String paraValStr)
    {
        if (StringUtils.isBlank(paraValStr))
        {
            return false;
        }
        Pattern pattern = null;
        for (String badSqlReg : badSqlRegs)
        {
            pattern = Pattern.compile(badSqlReg);
            Matcher matcher = pattern.matcher(paraValStr);
            if (matcher.find()) //匹配到含有sql注入的语句
            {
                return true;
            }
        }
        return false;
    }
    
}
3. XSS攻击

1,原理:
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java, VBScript, ActiveX, Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
2.防御XSS的七条原则
此博客已经写的很清楚,就不在此赘述,博客链接:https://www.cnblogs.com/xiaohouzai/p/8180474.html

/***对页面HTML中的关键字进行处理**、
public class HtmlStringUtil
{
  /**
  * HTML关键字处理<p>
  * 将空格,“&,<,>,\"转义
  * 
  * @param txt
  * @return String
  */
  public static String textToHtmlNoBR(String txt)
  {
      
      String result = txt;
      if (result == null)
      {
          return result;
      }
      result = replaceAll(result, "&", "&amp;");
      result = replaceAll(result, "<", "&lt;");
      result = replaceAll(result, ">", "&gt;");
      result = replaceAll(result, "\"", "&quot;");
      return result;
  }
  
  /**
   * <HTML关键字处理><p>
   * 将空格,换行,“&,<,>,\"转义
   * 
   * @param txt
   * @return String
   */
  public static String textToHtmlEx(String txt)
  {
      
      String result = txt;
      if (result == null)
      {
          return result;
      }
      result = replaceAll(result, "&", "&amp;");
      result = replaceAll(result, "<", "&lt;");
      result = replaceAll(result, ">", "&gt;");
      result = replaceAll(result, "\"", "&quot;");
      result = replaceAll(result, "\r\n", "<br>");
      result = replaceAll(result, "\r", "<br>");
      result = replaceAll(result, "\n", "<br>");
      return result;
  }
  
  /**
   * <HTML关键字至文本反处理>
   * 
   * @param str
   * @return String
   */
  public static String textToHtml(String str)
  {
      
      String result = str;
      if (result == null)
      {
          return result;
      }
      result = replaceAll(result, "&", "&amp;");
      result = replaceAll(result, "<", "&lt;");
      result = replaceAll(result, ">", "&gt;");
      result = replaceAll(result, "\"", "&quot;");
      result = replaceAll(result, "\r\n", "<br>");
      result = replaceAll(result, "\r", "<br>");
      result = replaceAll(result, "\n", "<br>");
      return result;
  }
  
  /**
   * 将'<' 转换成&lt这种形式
   * 
   * @param str
   * @return String
   */
  public static String textToHtmlNoBr(String str)
  {
      String result = str;
      if (result == null)
      {
          return result;
      }
      result = replaceAll(result, "&", "&amp;");
      result = replaceAll(result, "<", "&lt;");
      result = replaceAll(result, ">", "&gt;");
      return result;
  }
  
  /**
   * <字符串大量替换><br/>
   * 将str字符串中的replacing字符替换成replacement字符
   * 
   * @param src [替换字符源]
   * @param replacing  [替换目标字符]
   * @param replacement [替换结果字符]
   * 
   * @return String [替换结果]
   */
  public static String replaceAll(String src, String replacing,
          String replacement)
  {
      String result = null;
      StringBuilder builder = new StringBuilder(src);
      int searchIndex = 0;
      int replacingLength = replacing.length();
      int replacementLength = replacement.length();
      while (true)
      {
          int index = builder.indexOf(replacing, searchIndex);
          if (index == -1)
          {
              break;
          }
          builder.delete(index, index + replacingLength);
          builder.insert(index, replacement);
          searchIndex = index + replacementLength;
      }
      result = builder.toString();
      return result;
  }
  
  /**
   * <判断日期是否为空,格式化日期>
   * 
   * @param str
   * @return String
   */
  public static String delNull(Date date)
  {
      String returnStr = "";
      if (date != null)
      {
          SimpleDateFormat sf = new SimpleDateFormat("yyyy年MM月dd日 HH:mm:ss ");
          returnStr = sf.format(date);
      }
      return returnStr;
  }
  
  /**
   * <判断字符串是否为空>
   * 
   * @param str
   * @return String
   */
  public static String delNull(String str)
  {
      String returnStr = "";
      if (StringUtils.isNotBlank(str))
      {
          returnStr = str;
      }
      return returnStr;
  }
  
  /**
   * <换行统一处理>
   * <功能详细描述>
   * @param str
   * @return String
   */
  public static String replaceDosLine(String str)
  {
      String result = replaceAll(str, "\r\n", "\n");
      result = replaceAll(result, "\n", "\r\n");
      return result;
      
  }
  
  /**
   * <sql特殊字符处理>
   * <功能详细描述>
   * @param str
   *
   * @return String
   */
  public static String replaceSql(String str)
  {
      String result = replaceAll(str, "%", "%25");
      result = replaceAll(result, "&", "%26");
      result = replaceAll(result, "\\", "%5c");
      result = replaceAll(result, "_", "%5f");
      return result;
      
  }
}
徒步远方999
关注
专栏目录
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS:攻击者通过构造恶意链接,诱使用户点击...
redis-5.0.5安装中的make
jz1993的博客
06-05 1050
redis安装make编译
所有默认端口对应表
yp120yp的专栏
02-28 5657
<br /># GoSH portlist compiled by Julian Assange - proff@suburbuia.net<br />#<br /># Please send any additions / clarifications to strobe@suburbia.net<br />#<br />reserved            0/tcp Reserved [JBP]<br />reserved            0/udp Reserved [JBP]<br />t
sqlserver Change Data Capture&Change Tracking
在路上
12-23 14万+
文章目录数据变化跟踪(SQL Server)使用change data capture或change tracking较常规方法(触发器+时间戳列+额外的表)的优势change data capture与change tracking之间的不同之处:Change Data Capturechange data capture数据流理解cdc和capture instancechange table(变更表)CDC时效原表变化的处理捕获作业与事务复制
signature=839c980ea2bb48be66699d26946b8c01,3922张仅包含车牌的图片,图片名字表示车牌号码...
weixin_29056781的博客
05-30 1万+
【实例简介】3922张仅仅包含车牌的图片,从完整图片上切割下来的,并且每张图片的名字包含车牌号码,可以用作深度学习或其他机器学习的数据集,本人是用来学习深度学习多标签分类【实例截图】【核心代码】licence_img├── 云002576.jpg├── 云0V0856.jpg├── 云0V2159_2.jpg├── 云0V2159_9.jpg├── 云0V2159.jpg├── 云A00001.j...
跨站脚本攻击 xss_跨站脚本攻击(XSS
culi3118的博客
08-11 850
跨站脚本攻击 xssA cross-site scripting attack is one of the top 5 security attacks carried out on a daily basis across the Internet, and your PHP scripts may not be immune. 跨站点脚本攻击是每天在Internet上进行的前五项安全攻击之一...
Java防止xss攻击附相关文件下载
08-25
保持对最新的安全实践和框架更新的了解,定期对开发团队进行安全编码培训,提高他们对XSS攻击的认识和防御能力。 总之,Java防止XSS攻击需要综合运用多种技术,包括过滤、转义、验证和使用安全的编程实践。开发...
关于pdf文件xss攻击问题,配置xssFilter方法
最新发布
12-21
在SpringBoot应用中配置XSSFilter,可以确保传入和传出的数据都经过安全处理,防止XSS攻击的发生。 配置XSSFilter通常涉及以下几个步骤: 1. 添加依赖:确保项目中已经包含了Spring Security或者类似的过滤器库,...
Web安全XSS攻击与防御小结
10-17
Web安全中的XSS攻击是一种常见的网络攻击方式,全称为跨站脚本攻击。攻击者通过在Web页面中插入恶意的JavaScript代码,当受害者访问这些被污染的页面时,恶意脚本将被执行,从而可能导致敏感信息泄露、账户劫持等...
XSS攻击实例1
01-11
在"WebApplication1"这个项目中,你可以通过分析代码和测试不同类型的XSS攻击,理解它们的工作方式,并学习如何有效地实施防护措施。实践是最好的老师,通过实际操作,你可以更深入地掌握这些概念并提升你的Web应用...
SurfaceTexture,SurfaceControl,SurfaceHolder
shuwu
11-24 1562
SurfaceTexture would holder the Textureview SurfaceControl would hold
web项目攻击流程
iteye_8039的博客
05-01 818
基本上,参加的安全测试(渗透测试)的网站,可能或多或少存在下面几个漏洞:SQL注入漏洞、跨站脚本攻击漏洞、登陆后台管理页面、IIS短文件/文件夹漏洞、系统敏感信息泄露。   这些安全性测试,据了解一般是先收集数据,然后进行相关的渗透测试工作,获取到网站或者系统的一些敏感数据,从而可能达到控制或者破坏系统的目的。   第一步是信息收集,收集如IP地址、DNS记录、软件版本信息、IP段等信...
利用iconfont.css生成html代码,显示iconfont里面的所有的图标
sinat_23076629的博客
09-04 3万+
开发时,一个同事问我,遇到历史项目中的iconfont,不知道里面有哪些图标。 于是我便利用nodejs,来根据css生成html显示里面的所有图标。首先用webstorm格式化css代码 ,然后再在css同级别目录创建js文件,命名examples.js,在目录下用命令行工具node examples.js,就会生成examples.html代码,用浏览器打开就能看到所有的图标啦。 css文...
常用的StringUtil工具类
qq_45593609的博客
04-16 585
下面展示一些 内联代码片。 // A code block var foo = 'bar'; // StringUtil工具类 public class StringUtil { //前端的常量池 public static final int MAX_RESULT_SIZE = 2000; private static final Pattern scriptPattern =...
mysql源码安装
热门推荐
zengzehui的专栏
10-03 69万+
1、安装依赖            在安装mysql之前需要安装的依赖有make、bison、gcc-c++、cmake、ncurses            以上下载地址如下:             make编译器下载地址:http://www.gnu.org/software/make/             bison下载地址:http://www.gnu.org/softwar
项目:黑客攻击系统
qq_40950183的博客
05-25 752
本篇将讲解如何实现黑客攻击系统(控制台版) 代码总览(最后有完整代码) #include <iostream> #include <Windows.h> #include <string> #include <conio.h> #include "hacker.h" #define WIDTH 40 #define HIGH 15 int flag=...
java replaceall 用法
sundful的专栏
08-05 2739
[code="java"]public class TryDotRegEx { public static void main(String[] args) { // TODO Auto-generated method stub String str = "111.3.22.11"; str=str.replaceAll("(^|\\.)(\\d)(\\.|$)","$100$2$3")...
java防XSS攻击的 关键词过滤实现
weixin_43791937的博客
05-15 1400
继承HttpServletRequestWrapper,实现对请求参数的过滤 /** * xss请求适配器 */ public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { public XssHttpServletRequestWrapper(HttpServletRequest request) { super(request); } /** * 对
项目中要避免XSS安全漏洞问题
韩某的博客
08-01 2369
工作一年来,很有感触,发现其实很多时候业务功能的实现本身并不难,难的是在实现功能时还能兼顾各种性能问题、安全漏洞问题。 之前在项目开发中,可能因为项目紧急时间有限,可能因为没有考虑周全,经常不能兼顾安全问题,需要老大的提醒或者测试时才会注意到。所以静下心的总结下项目中经常用到的避免XSS安全漏洞的方法。 了解XSS XSS也称跨站脚本攻击(Cross Site Scripting),恶意攻击...
使用XSSF在Backtrack5进行XSS漏洞攻击
"backtrack之XSS篇 - 在DVWA测试系统中...Backtrack 5中的XSSF工具为安全研究人员提供了方便的XSS漏洞探测和利用手段,但同时也强调了防御XSS攻击的重要性,需要开发者采取有效的措施来保护用户免受此类攻击的威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值