跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞

最新推荐文章于 2024-08-08 09:48:19 发布
最新推荐文章于 2024-08-08 09:48:19 发布
阅读量5.5k 收藏 1
点赞数
分类专栏: 漏洞修复 文章标签: 钓鱼 漏洞

1、跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞

主要是通过在url或参数中添加脚本如:

1、URL中添加<script>alert(1)</script>

2、参数value=<a href="http://demo.com"></a>。

添加一个过滤器对特殊字符进行拦截

[java]  view plain copy
  1. package com.xxx.sys.filter;  
  2.   
  3. import java.io.IOException;  
  4. import java.util.Enumeration;  
  5.   
  6. import javax.servlet.Filter;  
  7. import javax.servlet.FilterChain;  
  8. import javax.servlet.FilterConfig;  
  9. import javax.servlet.ServletException;  
  10. import javax.servlet.ServletRequest;  
  11. import javax.servlet.ServletResponse;  
  12. import javax.servlet.http.HttpServletRequest;  
  13. import javax.servlet.http.HttpServletResponse;  
  14.   
  15. import org.apache.log4j.Logger;  
  16.   
  17. /** 
  18.  * 非法字符过滤器 
  19.  * 1.所有非法字符配置在web.xml中,如需添加新字符,请自行配置 
  20.  * 2.请注意请求与相应时的编码格式设置,否则遇到中文时,会出现乱码(GBK与其子集应该没问题) 
  21.  * @author lee 
  22.  * 
  23.  */  
  24. public class CharFilter implements Filter {  
  25.     private Logger log = Logger.getLogger(CharFilter.class);  
  26.     private String encoding;  
  27.     private String[] legalNames;  
  28.     private String[] illegalChars;  
  29.       
  30.     public void init(FilterConfig filterConfig) throws ServletException {  
  31.         encoding = filterConfig.getInitParameter("encoding");  
  32.         legalNames = filterConfig.getInitParameter("legalNames").split(",");  
  33.         illegalChars = filterConfig.getInitParameter("illegalChars").split(",");  
  34.     }  
  35.       
  36.     public void destroy() {  
  37.         encoding = null;  
  38.         legalNames = null;  
  39.         illegalChars = null;  
  40.     }  
  41.       
  42.   
  43.     public void doFilter(ServletRequest request, ServletResponse response,  
  44.             FilterChain filterChain) throws IOException, ServletException {  
  45.           
  46.         HttpServletRequest req = (HttpServletRequest)request;  
  47.         HttpServletResponse res = (HttpServletResponse) response;  
  48.           
  49.         //必须手动指定编码格式  
  50.         req.setCharacterEncoding(encoding);  
  51.         String tempURL = req.getRequestURI();   
  52.         log.info(tempURL);  
  53.         Enumeration params = req.getParameterNames();  
  54.           
  55.         //是否执行过滤  true:执行过滤  false:不执行过滤  
  56.         boolean executable = true;  
  57.           
  58.         //非法状态  true:非法  false;不非法  
  59.         boolean illegalStatus = false;  
  60.         String illegalChar = "";  
  61.         //对参数名与参数进行判断  
  62.         w:while(params.hasMoreElements()){  
  63.               
  64.             String paramName = (String) params.nextElement();  
  65.               
  66.             executable = true;  
  67.               
  68.             //密码不过滤  
  69.             if(paramName.toLowerCase().contains("password")){  
  70.                 executable = false;  
  71.             }else{  
  72.                 //检查提交参数的名字,是否合法,即不过滤其提交的值  
  73.                 f:for(int i=0;i<legalNames.length;i++){  
  74.                     if(legalNames[i].equals(paramName)){  
  75.                         executable = false;  
  76.                         break f;  
  77.                     }  
  78.                 }  
  79.             }  
  80.               
  81.             if(executable){  
  82.                 String[] paramValues = req.getParameterValues(paramName);  
  83.                   
  84.                 f1:for(int i=0;i<paramValues.length;i++){  
  85.                       
  86.                     String paramValue = paramValues[i];  
  87.                       
  88.                     f2:for(int j=0;j<illegalChars.length;j++){  
  89.                           
  90.                         illegalChar = illegalChars[j];  
  91.                           
  92.                         if(paramValue.indexOf(illegalChar) != -1){  
  93.                             illegalStatus = true;//非法状态  
  94.                             break f2;  
  95.                         }  
  96.                     }  
  97.                       
  98.                     if(illegalStatus){  
  99.                         break f1;  
  100.                     }  
  101.                       
  102.                 }  
  103.             }  
  104.               
  105.             if(illegalStatus){  
  106.                 break w;  
  107.             }  
  108.         }  
  109.         //对URL进行判断  
  110.         for(int j=0;j<illegalChars.length;j++){  
  111.               
  112.             illegalChar = illegalChars[j];  
  113.               
  114.             if(tempURL.indexOf(illegalChar) != -1){  
  115.                 illegalStatus = true;//非法状态  
  116.                 break;  
  117.             }  
  118.         }  
  119.         if(illegalStatus){  
  120.             //必须手动指定编码格式  
  121.             res.setContentType("text/html;charset="+encoding);  
  122.             res.setCharacterEncoding(encoding);  
  123.             res.getWriter().print("<script>window.alert('当前链接中存在非法字符');window.history.go(-1);</script>");  
  124.         }else{  
  125.             filterChain.doFilter(request, response);  
  126.         }  
  127.     }  
  128.   
  129. }  


web.xml code

[html]  view plain copy
  1. <filter>  
  2.         <filter-name>charFilter</filter-name>  
  3.         <filter-class>com.xxx.sys.filter.CharFilter</filter-class>  
  4.         <init-param>  
  5.             <param-name>encoding</param-name>  
  6.             <param-value>UTF-8</param-value>  
  7.         </init-param>  
  8.         <init-param>  
  9.             <param-name>legalNames</param-name>  
  10.             <param-value>content1,ver,historyURL,listURL</param-value>  
  11.         </init-param>  
  12.         <init-param>  
  13.             <param-name>illegalChars</param-name>  
  14.             <param-value>|,$,@,',",\',\",<,>,(,),+,CR,LF,\",",\,http</param-value>  
  15.         </init-param>  
  16.     </filter>  
mym43210
关注
专栏目录
什么是脚本 (XSS) 攻击?
简介
01-04 2028
这一次,教会xss攻击!!!!!!!
前端安全知多少
风雨无阻,执着追求!!!
08-07 365
说到安全,大家脑海浮现的一定是这种场景。 他们噼噼啪啪敲几行代码,就能控制对方电脑于千里之外,酷到没朋友。 但这些似乎离前端还挺远的。常常听到什么SQL注入,缓冲区溢出,DDoS,CC攻击,好像和前端也没啥关系,渐渐的会觉得安全是后端的的事。   但真的是这样的吗?想起来前不久公司安全部门统计的漏洞列表 看,前端经典的XSS漏洞占据了90%以上。所以学习和了解前端安全方面的知识,
IBM Security Appscan漏洞--通过框架钓鱼
YouXu
03-16 6437
通过框架钓鱼
常见框架漏洞复现
最新发布
2401_86440467的博客
08-08 2209
使用Debian虚拟机,配置docker与docker-compose配置后下载vulhub靶场后发现,环境还是无法启动成功,重新打开终端输入docker hub加速服务如图成功后,启动容器 ,成功若想更改端口,则vim docker-compose.yml进入更改。
Iframe框架钓鱼攻击
m0_62425768的博客
11-19 552
Iframe框架钓鱼网站是指那些假扮成合法网站的虚假网站,旨在诱骗用户提供个人信息、账号密码、财务信息等敏感信息。这些网站通常会模仿知名的银行、电子支付平台、电子邮件服务提供商等机构的网站,以迷惑用户并诱使他们输入敏感信息。原理是,使用正则表达式来判断前端传过来的值是否正常,如不正常则不允以应答,如正常则向前端返回前端Iframe标签的值。当前端传过来的值为InN时,执行doYInframe方法,可防护Iframe框架钓鱼的后端代码。在访问银行、支付平台等网站时,确保网址正确,使用书签或手动输入网址。
站点脚本编制
Angelo Lee's Blog
03-14 1892
站点脚本编制”攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定 Web 站点交互时假冒这位用户。 这个攻击立足于下列事实:Web 站点所包含的脚本直接将用户在 HTML 页面的输入(通常是参数值)返回,而不预先加以清理。 如果脚本在响应页面返回由 JavaScript 代码组成的输入,浏览器便可以执行输入的代码。 因此,有可能形成指向站点的若干链接,且其一个参数是
经典Web安全缺陷(框架钓鱼风险)
Liuhaiyan6的博客
09-17 8389
1、概述:Web安全应用程序的安全始终是一个重要的议题,因为网站是恶意工作者的第一目标。黑客利用网络传播其恶意软件、蠕虫、垃圾及其他等等。QWASP(是一个符合501(c)3)全球不以营利为目的的慈善组织专注于提高软件的安全性)概括了Web应用程序最为危险的安全漏洞,但是在不断积极的发现可能出现的新的弱点以及新的Web攻击手段。黑客总是不断的在寻找新的方法欺骗用户,因此从渗透的角度看,我们需要看到
appscan扫描 通过框架钓鱼、链接注入(便于请求伪造)、站点脚本编制等问题
Mervyn的博客
10-11 1568
手上的一个项目最近用appscan扫描测试。遇到了几个高问题: 通过框架钓鱼 链接注入(便于请求伪造站点脚本编制 看了下测试报告给出的原因:未对用户输入正确执行危险字符清理。 修改建议是针对xss漏洞进行修复。 最开始处理的时候,参照预防XSS攻击,(参数/响应值)特殊字符过滤这篇博文做了过滤,再扫描还是有这几个问题。 后面又看了篇博文XSS攻击常识及常见的XSS攻击脚本汇总,了解...
IBM Security Appscan漏洞--存储的站点脚本编制
YouXu
03-16 9207
未对用户输入正确执行危险字符清理 ,添加XSS过滤器
AppScan安全扫描记录遇到的一些问题
qq_41345150的博客
09-26 1843
AppScan安全扫描记录遇到的一些问题sql注入&站点脚本编制&通过框架钓鱼&链接注入(便于请求伪造)缺少脚本编制防御 X-Frame-Options缺少“Content-Security-Policy”头缺少 HTTP Strict-Transport-Security 头缺少“X-Content-Type-Options”头缺少“X-XSS-Protecti...
CSRF(Cross-site request forgery 请求伪造)
myfuturein的专栏
10-08 7029
CSRF(Cross-site request forgery 请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CS
java站点脚本编制_站点请求伪造 站点脚本编制 通过框架钓鱼漏洞 | 学步园...
weixin_33324435的博客
02-26 244
1、站点请求伪造 站点脚本编制 通过框架钓鱼漏洞主要是通过在url或参数添加脚本如:1、URL添加alert(1)2、参数value=。添加一个过滤器对特殊字符进行拦截package com.xxx.sys.filter;import java.io.IOException;import java.util.Enumeration;import javax.servlet.Filter;i...
站点请求伪造
dieman0446的博客
03-28 424
站点请求伪造 危害:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 可能原因:应用程序使用的认证方法不充分 技术分析:即使是格式正确、有效且一致的请求也可能已在用户不知情的情况下发送。因此,Web 应用程序应检查所有请求以发现其不合法的迹象。此测试的结果指示所扫描的应用程序没有执行此操作。此脆弱性的...
请求伪造
weixin_30387663的博客
01-04 141
1. 什么是请求伪造(CSRF)  CSRF(Cross-site request forgery请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来...
请求伪造—CSRF
FEWY的博客
11-26 877
CSRF 介绍 CSRF,是请求伪造(Cross Site Request Forgery)的缩写,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。 通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。 CSRF 攻击示例 这里有一个网站,用户可以看...
CSRF(Cross-Site Request Forgery) 请求伪造
Eason_LYC安全白帽子的成长博客
05-13 1644
WEB安全CSRF漏洞攻击最为全面的知识点总结,直击核心知识点,将零散的知识汇总梳理。为深入学习CSRF打下良好基础!
XSS漏洞钓鱼
weixin_51356351的博客
11-19 461
实验环境 PHPstudy DVWA靶场 实验步骤 重定向钓鱼 1、把当前页面重定向到一个钓鱼页面,例如重定向到百度, <script>document.location.href="http://baidu.com"</script> 2、打开DVWA靶场 选择(XSS)stored 然后F12打开查看器,将输入限制值改的大一点 插入代码则会重定向到百度页面 ...
防止站点脚本攻击和钓鱼注入等
fenter的专栏
04-19 1007
<br />url参数,无论是post还是get方式,都会潜在着注入的风险。如果使用不适当的话。<br />如何防范这种系统性的风险呢?<br />1)构造你自己的序列和反序列化器,当然这个序列器包括具有格式校验的功能;如果newton.json是一个比较高效的序列器(相当对.net4.0的jsonserializer,各有千秋,单个性能高,其它缓存能力差),可以扩展功能,增加格式校验功能等,以保证传输过来的参数,都符合你的格式要求;而且能够面向对象编程。这种方式的适用于大型应用的处理方案。<br />目
java如何解决站点请求伪造_站点请求伪造(CSRF)
06-09
Java可以通过以下几种方式来解决站点请求伪造(CSRF)问题: 1. 防止重复提交:可以在页面添加一个唯一的token,每次提交时都要验证token是否合法,如果不合法就拒绝请求。 2. 验证Referer头:可以在服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值