Cross site scripting公司项目被检测出项目存在XSS跨站脚本攻击漏洞

最新推荐文章于 2024-01-20 09:41:57 发布
最新推荐文章于 2024-01-20 09:41:57 发布
阅读量233 收藏
点赞数
分类专栏: Java排雷 文章标签: java filter xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48373030/article/details/107729767
版权

记个加班要做的事,,,,公司项目被检测出XSS攻击漏洞

点击了解什么是XSS攻击

解决思路:自定义个过滤器,过滤掉所有请求中的非法参数

代码记录:公司名用***代替了

web.xml配置这个过滤器写在靠前的位置

	<filter>
		<filter-name>XssFilter</filter-name>
		<filter-class>com.***.utils.XssFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>XssFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

package com.***.utils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * @Description Xss攻击参数过滤
 * @Author Crazy
 * @Version 2020/8/1 12:46
 * @Copyright ***
 */
public class XssFilter implements Filter {
    private FilterConfig filterConfig;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        /**这里只处理request请求
         重写的XssServletRequest继承HttpServletRequestWrapper,这个类允许重写request的各种方法*/
        chain.doFilter(new XssServletRequest((HttpServletRequest) request), response);

    }
    @Override
    public void destroy() {
        this.filterConfig=null;
    }
}

package com.***.utils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * @Description Xss攻击参数过滤的具体实现
 * @Author Crazy
 * @Version 2020/8/1 12:49
 * @Copyright ***
 */
public class XssServletRequest extends HttpServletRequestWrapper {

    /**
     * Constructs a request object wrapping the given request.
     * 
     * @param request
     * @throws IllegalArgumentException if the request is null
     */
    public XssServletRequest(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getHeader(String par) {
        return clearXssStr(super.getHeader(par));
    }

    @Override
    public String getParameter(String par) {
        return clearXssStr(super.getParameter(par));
    }

    /**
     * 主要就是参数值过滤
     * @param name
     * @return
     */
    @Override
    public String[] getParameterValues(String par) {
        String[] val = super.getParameterValues(par);
        if (val == null) {
            return val;
        }
        String[] valNew = new String[val.length];
        for (int i = 0; i < val.length; i++) {
            valNew[i] = clearXssStr(val[i]);
        }
        return valNew;
    }


    /**过滤内容*/
    private String clearXssStr(String value) {
        if (value == null || "".equals(value)) {
            return value;
        }
        value = value .replaceAll("\\&[a-zA-Z]{0,9};", "").replaceAll("<[^>]*>", "");
        value = value.replaceAll("<", "").replaceAll(">", "");
        value = value.replaceAll("\\(", "").replaceAll("\\)", "");
        value = value.replaceAll("'", "'");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        return value;
    }
}

搞定

声明:
博客中标注原创的文章,版权归本博客作者所有,若转载或者引用本文内容请注明来源及原作者,否则依法保留追究权
==如果帮到你了点个赞呗

(SEED-LabCross-Site Scripting (XSS) Attack Lab跨站脚本攻击实验
lunan的博客
02-02 5918
(SEED-LabCross-Site Scripting (XSS) Attack Lab 跨站脚本攻击实验 欢迎大家访问我的GitHub博客 https://lunan0320.cn 文章目录一、实验目的二、实验步骤与结果2 Lab Environment2.1 The Elgg Web Application2.2 DNS Confifiguration2.3 Apache Confifiguration3 Lab Tasks3.1 Preparation: Getting Familiar w
跨站脚本攻击XSS(Cross Site Scripting)总结
野原新之助
01-31 1156
XSS是指开发者在开发网页时,对用户的输入没有进行安全过滤,导致用户在可以输入内容的地方,插入脚本语句,执行恶意脚本代码,可以对数据库、服务器、用户等造成影响和危害,危险等级很高,也很常见。
wangEditor的一些坑记录
HYeeee的博客
11-30 6921
1、在vue中使用wangEditor 网上的资料一堆,但基本都是wangEditor3的运用,wangEditor4只需要把customConfig 改成config即可。 例如:关于在vue项目中使用wangEditor 2、标题样式、斜体样式不生效 感谢文章:https://blog.csdn.net/weixin_44258964/article/details/103213167 原因:设置的全局样式导致样式失效 解决:重新对编辑器的样式进行设置,覆盖全局即可 通过查找原始默认样式:webkit内
个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范...
weixin_30614587的博客
12-31 488
昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷……其实攻击者进攻的手法很简单,没啥技术含量。只能感叹自己之前竟然完全没防范。 这是数据库里留下的一些记录。最后那人弄了一个无限循环弹框的脚本,估计这个脚本之后他再想输入也没法了。 类似这种: <html> <body onload='while(true){alert(1)}'> &...
前端安全(2):跨站脚本(Cross-Site ScriptingXSS
imagine_tion的博客
12-10 353
一、XSS分为哪几类? 根据攻击的来源,XSS攻击可分为储存型、反射型、和DOM型三种 储存区:恶意代码存放的位置。 插入点:由谁取得恶意代码,并插入到网页上。 1. 储存型XSS 储存型XSS的攻击步骤: 攻击者将恶意代码提交到目标网站的数据库中。 ⽤户打开⽬标网站时,网站服务端将恶意代码从数据库取,拼接在 HTML 中返回给浏览器。 ⽤户浏览器接收到响应后解析执⾏,混在其中的恶意代码也被执行。 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用⽬标网站接口执行攻击者指定的操作。
php调用nameko接口,Nameko Webmail <= 0.10.146 Cross Site Scripting
weixin_39861918的博客
03-18 69
* Nameko Webmail XSS Vulnerability on version <= 0.10.146* ========================================================** Homepage: http://www.wizshelf.org/nameko/* Discovered by: Andrea Menin (base64 ...
cross site scripting attack
Leove的专栏
10-12 621
cross site scripting attack http://www.cert.org/advisories/CA-2000-02.html
XSS跨站漏洞(Cross-site scripting):
sinat_21509375的专栏
01-24 1417
ØXSS跨站漏洞(Cross-site scripting): 跨站点脚本攻击(XSS/CSS)安全缺陷,往往存在于那些提供动态网页的Web应用系统中。这类Web站点提供动态的页面,这类页面由为用户动态建造的多个源站点的信息组成。如果应用系统存在漏洞,则攻击者可以将恶意内容(一般为代码)插入到Web站点提供动态的页面中,以收集其他用户在使用被攻击页时提交的重要信息,或简单的在其它用户的浏览器上
【常见Web应用安全问题】---1、Cross Site Scripting
weixin_34329187的博客
12-22 226
 Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行...
XSS跨站脚本攻击漏洞修复方法
06-18
**XSS跨站脚本攻击漏洞修复方法** XSS(Cross-Site Scripting跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将...
**XSS** 即跨站脚本攻击(Cross-Site Scripting),是一种常见的 Web 应用程序安全漏洞
最新发布
08-17
xss
XSS跨站脚本攻击Java开发中防范的方法
01-09
XSS(Cross-Site Scripting跨站脚本攻击是一种常见的安全威胁,它利用Web应用程序的安全漏洞,将恶意脚本注入到合法的网页中,进而攻击最终用户。XSS攻击主要分为以下两种类型: 1. **存储型XSS**(Persistent ...
跨站脚本攻击XSS(Cross-Site Scripting)
qq_30683393的博客
05-12 574
XSS可说是网站界第一名常见的攻击模式,恶意的使用者可以将脚本程式码放在网页上让其他使用者执行,任何可以让使用者输入资料的网站,都必须小心这个问题。例如可以将以下的程式贴到网页上: <script>alert('HACK YOU!');</script> <img src=javascript:alert('HACK YOU!')> <table back...
web安全学习笔记(七) XSS(Cross-site scripting)跨站脚本漏洞
qycc3391的博客
03-03 3629
1.XSS原理解析 HTML中,有着<script></script>标签,用于定义客户端脚本。在<script>与</script>之间输入代码,即可实现一些特殊效果。 例如,新建两个文件,xxstest.html 和 PrintSrc.php两个文件: <form action = "PrintStr.php" method="post"&...
开发安全之:Cross-Site Scripting: Poor Validation
irizhao的专栏
01-20 1575
然而,这种解决方法在 Web 应用程序中通常是行不通的,因为许多字符对浏览器来说都具有特殊的含义,编码时这些字符必须被视为合法输入,例如,一个 Web 设计电子公告栏就必须接受其用户提供的 HTML 片段。针对 XSS 漏洞进行验证最安全的方式是,创建一份安全字符允许列表,允许其中的字符现在 HTTP 内容中,并且只接受完全由这些经认可的字符组成的输入。由于 XSS 漏洞在应用程序的输中包含恶意数据时现,因此,合乎逻辑的方法是在数据流应用程序的前一刻对其进行验证。
Web安全性测试之XSS
捕风的汉子
08-21 416
From:http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Coo...
Anti cross-site scripting (XSS) filter for Java web apps
michealcxt的专栏
01-16 798
Here is a good and simple anti cross-site scripting (XSS) filter written for Java web applications. What it basically does is remove all suspicious strings from request parameters before returning the
XSS(Cross Site Scripting跨站脚本攻击
weixin_45760365的博客
03-31 1288
XSS(Cross Site Scripting跨站脚本攻击
XSS跨站脚本攻击详解与防御策略
XSS(Cross-Site Scripting跨站脚本攻击是Web安全领域的一个重要问题,它利用网站的信任机制,将恶意脚本注入到网页中,当其他用户访问这些页面时,恶意脚本会在用户的浏览器中执行,从而可能导致数据窃取、用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值