跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞

最新推荐文章于 2024-08-09 08:35:54 发布
最新推荐文章于 2024-08-09 08:35:54 发布
阅读量5.5k 收藏 1
点赞数
分类专栏: 漏洞修复 文章标签: 钓鱼 漏洞

1、跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞

主要是通过在url或参数中添加脚本如:

1、URL中添加<script>alert(1)</script>

2、参数value=<a href="http://demo.com"></a>。

添加一个过滤器对特殊字符进行拦截

[java]  view plain copy
  1. package com.xxx.sys.filter;  
  2.   
  3. import java.io.IOException;  
  4. import java.util.Enumeration;  
  5.   
  6. import javax.servlet.Filter;  
  7. import javax.servlet.FilterChain;  
  8. import javax.servlet.FilterConfig;  
  9. import javax.servlet.ServletException;  
  10. import javax.servlet.ServletRequest;  
  11. import javax.servlet.ServletResponse;  
  12. import javax.servlet.http.HttpServletRequest;  
  13. import javax.servlet.http.HttpServletResponse;  
  14.   
  15. import org.apache.log4j.Logger;  
  16.   
  17. /** 
  18.  * 非法字符过滤器 
  19.  * 1.所有非法字符配置在web.xml中,如需添加新字符,请自行配置 
  20.  * 2.请注意请求与相应时的编码格式设置,否则遇到中文时,会出现乱码(GBK与其子集应该没问题) 
  21.  * @author lee 
  22.  * 
  23.  */  
  24. public class CharFilter implements Filter {  
  25.     private Logger log = Logger.getLogger(CharFilter.class);  
  26.     private String encoding;  
  27.     private String[] legalNames;  
  28.     private String[] illegalChars;  
  29.       
  30.     public void init(FilterConfig filterConfig) throws ServletException {  
  31.         encoding = filterConfig.getInitParameter("encoding");  
  32.         legalNames = filterConfig.getInitParameter("legalNames").split(",");  
  33.         illegalChars = filterConfig.getInitParameter("illegalChars").split(",");  
  34.     }  
  35.       
  36.     public void destroy() {  
  37.         encoding = null;  
  38.         legalNames = null;  
  39.         illegalChars = null;  
  40.     }  
  41.       
  42.   
  43.     public void doFilter(ServletRequest request, ServletResponse response,  
  44.             FilterChain filterChain) throws IOException, ServletException {  
  45.           
  46.         HttpServletRequest req = (HttpServletRequest)request;  
  47.         HttpServletResponse res = (HttpServletResponse) response;  
  48.           
  49.         //必须手动指定编码格式  
  50.         req.setCharacterEncoding(encoding);  
  51.         String tempURL = req.getRequestURI();   
  52.         log.info(tempURL);  
  53.         Enumeration params = req.getParameterNames();  
  54.           
  55.         //是否执行过滤  true:执行过滤  false:不执行过滤  
  56.         boolean executable = true;  
  57.           
  58.         //非法状态  true:非法  false;不非法  
  59.         boolean illegalStatus = false;  
  60.         String illegalChar = "";  
  61.         //对参数名与参数进行判断  
  62.         w:while(params.hasMoreElements()){  
  63.               
  64.             String paramName = (String) params.nextElement();  
  65.               
  66.             executable = true;  
  67.               
  68.             //密码不过滤  
  69.             if(paramName.toLowerCase().contains("password")){  
  70.                 executable = false;  
  71.             }else{  
  72.                 //检查提交参数的名字,是否合法,即不过滤其提交的值  
  73.                 f:for(int i=0;i<legalNames.length;i++){  
  74.                     if(legalNames[i].equals(paramName)){  
  75.                         executable = false;  
  76.                         break f;  
  77.                     }  
  78.                 }  
  79.             }  
  80.               
  81.             if(executable){  
  82.                 String[] paramValues = req.getParameterValues(paramName);  
  83.                   
  84.                 f1:for(int i=0;i<paramValues.length;i++){  
  85.                       
  86.                     String paramValue = paramValues[i];  
  87.                       
  88.                     f2:for(int j=0;j<illegalChars.length;j++){  
  89.                           
  90.                         illegalChar = illegalChars[j];  
  91.                           
  92.                         if(paramValue.indexOf(illegalChar) != -1){  
  93.                             illegalStatus = true;//非法状态  
  94.                             break f2;  
  95.                         }  
  96.                     }  
  97.                       
  98.                     if(illegalStatus){  
  99.                         break f1;  
  100.                     }  
  101.                       
  102.                 }  
  103.             }  
  104.               
  105.             if(illegalStatus){  
  106.                 break w;  
  107.             }  
  108.         }  
  109.         //对URL进行判断  
  110.         for(int j=0;j<illegalChars.length;j++){  
  111.               
  112.             illegalChar = illegalChars[j];  
  113.               
  114.             if(tempURL.indexOf(illegalChar) != -1){  
  115.                 illegalStatus = true;//非法状态  
  116.                 break;  
  117.             }  
  118.         }  
  119.         if(illegalStatus){  
  120.             //必须手动指定编码格式  
  121.             res.setContentType("text/html;charset="+encoding);  
  122.             res.setCharacterEncoding(encoding);  
  123.             res.getWriter().print("<script>window.alert('当前链接中存在非法字符');window.history.go(-1);</script>");  
  124.         }else{  
  125.             filterChain.doFilter(request, response);  
  126.         }  
  127.     }  
  128.   
  129. }  


web.xml code

[html]  view plain copy
  1. <filter>  
  2.         <filter-name>charFilter</filter-name>  
  3.         <filter-class>com.xxx.sys.filter.CharFilter</filter-class>  
  4.         <init-param>  
  5.             <param-name>encoding</param-name>  
  6.             <param-value>UTF-8</param-value>  
  7.         </init-param>  
  8.         <init-param>  
  9.             <param-name>legalNames</param-name>  
  10.             <param-value>content1,ver,historyURL,listURL</param-value>  
  11.         </init-param>  
  12.         <init-param>  
  13.             <param-name>illegalChars</param-name>  
  14.             <param-value>|,$,@,',",\',\",<,>,(,),+,CR,LF,\",",\,http</param-value>  
  15.         </init-param>  
  16.     </filter>  
mym43210
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是脚本 (XSS) 攻击?
简介
01-04 2018
这一次,教会xss攻击!!!!!!!
AppScan安全扫描记录遇到的一些问题
qq_41345150的博客
09-26 1837
AppScan安全扫描记录遇到的一些问题sql注入&站点脚本编制&通过框架钓鱼&链接注入(便于请求伪造)缺少脚本编制防御 X-Frame-Options缺少“Content-Security-Policy”头缺少 HTTP Strict-Transport-Security 头缺少“X-Content-Type-Options”头缺少“X-XSS-Protecti...
前端安全知多少
风雨无阻,执着追求!!!
08-07 364
说到安全,大家脑海浮现的一定是这种场景。 他们噼噼啪啪敲几行代码,就能控制对方电脑于千里之外,酷到没朋友。 但这些似乎离前端还挺远的。常常听到什么SQL注入,缓冲区溢出,DDoS,CC攻击,好像和前端也没啥关系,渐渐的会觉得安全是后端的的事。   但真的是这样的吗?想起来前不久公司安全部门统计的漏洞列表 看,前端经典的XSS漏洞占据了90%以上。所以学习和了解前端安全方面的知识,
IBM Security Appscan漏洞--通过框架钓鱼
YouXu
03-16 6422
通过框架钓鱼
钓鱼框架新星:FiercePhish,你的安全测试利器!
最新发布
gitblog_00447的博客
08-09 489
钓鱼框架新星:FiercePhish,你的安全测试利器! FiercePhishFiercePhish is a full-fledged phishing framework to manage all phishing engagements. It allows you to track separate phishing campaigns, schedule sending of e...
Iframe框架钓鱼攻击
m0_62425768的博客
11-19 539
Iframe框架钓鱼网站是指那些假扮成合法网站的虚假网站,旨在诱骗用户提供个人信息、账号密码、财务信息等敏感信息。这些网站通常会模仿知名的银行、电子支付平台、电子邮件服务提供商等机构的网站,以迷惑用户并诱使他们输入敏感信息。原理是,使用正则表达式来判断前端传过来的值是否正常,如不正常则不允以应答,如正常则向前端返回前端Iframe标签的值。当前端传过来的值为InN时,执行doYInframe方法,可防护Iframe框架钓鱼的后端代码。在访问银行、支付平台等网站时,确保网址正确,使用书签或手动输入网址。
站点脚本编制
Angelo Lee's Blog
03-14 1890
站点脚本编制”攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定 Web 站点交互时假冒这位用户。 这个攻击立足于下列事实:Web 站点所包含的脚本直接将用户在 HTML 页面的输入(通常是参数值)返回,而不预先加以清理。 如果脚本在响应页面返回由 JavaScript 代码组成的输入,浏览器便可以执行输入的代码。 因此,有可能形成指向站点的若干链接,且其一个参数是
经典Web安全缺陷(框架钓鱼风险)
Liuhaiyan6的博客
09-17 8372
1、概述:Web安全应用程序的安全始终是一个重要的议题,因为网站是恶意工作者的第一目标。黑客利用网络传播其恶意软件、蠕虫、垃圾及其他等等。QWASP(是一个符合501(c)3)全球不以营利为目的的慈善组织专注于提高软件的安全性)概括了Web应用程序最为危险的安全漏洞,但是在不断积极的发现可能出现的新的弱点以及新的Web攻击手段。黑客总是不断的在寻找新的方法欺骗用户,因此从渗透的角度看,我们需要看到
每日漏洞 | 请求伪造
03-12 885
HTTP的无状态性,导致Web应用程序必须使用会话机制来识别用户。一旦与Web站点建立连接(访问、登录),用户通常会分配到一个Cookie,随后的请求,都会带上这个Cookie,这样Web站点就很容易分辨请求来自哪个用户,该修改哪个用户的数据。如果从第三方发起对当前站点请求,该请求也会带上当前站点的Cookie。正是这是这个缺陷,导致了CSRF的产生,利用这个漏洞可以劫持用户执行非意愿的操作。
appscan扫描 通过框架钓鱼、链接注入(便于请求伪造)、站点脚本编制等问题
Mervyn的博客
10-11 1559
手上的一个项目最近用appscan扫描测试。遇到了几个高问题: 通过框架钓鱼 链接注入(便于请求伪造站点脚本编制 看了下测试报告给出的原因:未对用户输入正确执行危险字符清理。 修改建议是针对xss漏洞进行修复。 最开始处理的时候,参照预防XSS攻击,(参数/响应值)特殊字符过滤这篇博文做了过滤,再扫描还是有这几个问题。 后面又看了篇博文XSS攻击常识及常见的XSS攻击脚本汇总,了解...
IBM Security Appscan漏洞--存储的站点脚本编制
YouXu
03-16 9204
未对用户输入正确执行危险字符清理 ,添加XSS过滤器
CSRF(Cross-site request forgery 请求伪造)
myfuturein的专栏
10-08 7026
CSRF(Cross-site request forgery 请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CS
java站点脚本编制_站点请求伪造 站点脚本编制 通过框架钓鱼漏洞 | 学步园...
weixin_33324435的博客
02-26 243
1、站点请求伪造 站点脚本编制 通过框架钓鱼漏洞主要是通过在url或参数添加脚本如:1、URL添加alert(1)2、参数value=。添加一个过滤器对特殊字符进行拦截package com.xxx.sys.filter;import java.io.IOException;import java.util.Enumeration;import javax.servlet.Filter;i...
站点请求伪造
dieman0446的博客
03-28 424
站点请求伪造 危害:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 可能原因:应用程序使用的认证方法不充分 技术分析:即使是格式正确、有效且一致的请求也可能已在用户不知情的情况下发送。因此,Web 应用程序应检查所有请求以发现其不合法的迹象。此测试的结果指示所扫描的应用程序没有执行此操作。此脆弱性的...
请求伪造
weixin_30387663的博客
01-04 139
1. 什么是请求伪造(CSRF)  CSRF(Cross-site request forgery请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来...
请求伪造—CSRF
FEWY的博客
11-26 872
CSRF 介绍 CSRF,是请求伪造(Cross Site Request Forgery)的缩写,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。 通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。 CSRF 攻击示例 这里有一个网站,用户可以看...
CSRF(Cross-Site Request Forgery) 请求伪造
Eason_LYC安全白帽子的成长博客
05-13 1628
WEB安全CSRF漏洞攻击最为全面的知识点总结,直击核心知识点,将零散的知识汇总梳理。为深入学习CSRF打下良好基础!
XSS漏洞钓鱼
weixin_51356351的博客
11-19 459
实验环境 PHPstudy DVWA靶场 实验步骤 重定向钓鱼 1、把当前页面重定向到一个钓鱼页面,例如重定向到百度, <script>document.location.href="http://baidu.com"</script> 2、打开DVWA靶场 选择(XSS)stored 然后F12打开查看器,将输入限制值改的大一点 插入代码则会重定向到百度页面 ...
java如何解决站点请求伪造_站点请求伪造(CSRF)
06-09
Java可以通过以下几种方式来解决站点请求伪造(CSRF)问题: 1. 防止重复提交:可以在页面添加一个唯一的token,每次提交时都要验证token是否合法,如果不合法就拒绝请求。 2. 验证Referer头:可以在服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值