AppScan安全扫描:CSRF 攻击 将可能干扰 CSRF 攻击的 HTTP 头除去,并使用伪造的 URL 设置 Referer 头

最新推荐文章于 2022-06-06 09:33:15 发布
置顶 最新推荐文章于 2022-06-06 09:33:15 发布
阅读量1.7k 收藏
点赞数
分类专栏: AppScan安全扫描 文章标签: 安全扫描 AppScan CSRF 攻击 伪造的 URL 设置 Referer 头
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niuch1029291561/article/details/86705803
版权

如果一个网站是从其他网站点击后跳转过来,则会在当前的请求头中带上Referer信息,该信息指示的是跳转前网页的地址信息,而AppScan安全扫描则会报CSRF 攻击;解决方法:通过拦截器,获取请求中的Referer信息,对Referer信息做过滤处理

1、拦截器信息

可用过csrf-ignore-uri配置白单信息,指定相应的URI信息不做拦截

package cn.com.zwjp.framework.web.filter;

import java.io.IOException;
import java.util.Arrays;
import java.util.List;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import cn.com.zwjp.framework.util.Configuration;
import cn.com.zwjp.framework.web.filter.util.IgnoreUriUtil;

/**
 * CSRF 攻击 将可能干扰 CSRF 攻击的 HTTP 头除去,并使用伪造的 URL 设置 Referer 头
 * 
 * @author 爱兰河少
 * @data 2017年7月6日
 * cn.com.zwjp.framework.web.filter
 */
public class RefererFilter implements Filter {

	private static final Logger logger = LoggerFactory.getLogger(RefererFilter.class);
	
	private List<String> bdUris = null;

	public void init(FilterConfig filterConfig) throws ServletException {
		String ignoreUri = filterConfig.getInitParameter("csrf-ignore-uri");
		if (ignoreUri != null) {
			bdUris = Arrays.asList(ignoreUri.toLowerCase().trim().split(","));
		}
		if (bdUris == null || bdUris.size() <= 0) {
			ignoreUri = Configuration.getInstance().getValue("csrf-ignore-uri");
			if (StringUtils.isNotBlank(ignoreUri)) {
				bdUris = Arrays.asList(ignoreUri.toLowerCase().trim().split(","));
			}
		}
	}

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest httpServletRequest = (HttpServletRequest) request;
		String rawReferer = httpServletRequest.getHeader("referer");
		// referer白单处理
		boolean legal = IgnoreUriUtil.isIgnoreUri(httpServletRequest);
		//白单
		legal=!legal?IgnoreUriUtil.isIgnoreUri(bdUris, httpServletRequest):legal;
		
		if (!legal) {
			logger.warn(" illegal referer: {}", rawReferer);
			String rootCauseMessage = "可能存在跨域攻击的风险:" + rawReferer;
			// 向后台打印出错信息
			logger.error(rootCauseMessage);
			RequestDispatcher rd = httpServletRequest.getRequestDispatcher("/404.jsp"); // 定向的页面
			rd.forward(request, response);
		} else {
			chain.doFilter(request, response);
		}
	}

	public void destroy() {
		logger.debug(" destroy {} but actually do nothing.", getClass().getName());
	}
}

2、白单验证工具类

因考虑到服务体验,应在不重启服务的情况下实现白单信息的添加,因此采用数据库配置+文件配置结合的形式处理白单信息,为避免拦截器频繁的数据库读取,因此采用数据库白单信息存放于内存中,每隔3个小时时第一个请求则重新读取一次白单信息

package cn.com.zwjp.framework.web.filter.util;

import java.net.MalformedURLException;
import java.net.URL;
import java.text.ParseException;
import java.text.SimpleDateFormat;
import java.util.ArrayList;
import java.util.Date;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;

import org.apache.commons.collections.MapUtils;
import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import cn.com.zwjp.portal.service.LoginDataService;
import cn.com.zwjp.portal.utils.BaseUtil;

/**
 * 白单信息处理
 * 
 * @author 爱兰河少
 * @data 2018年8月17日 cn.com.zwjp.framework.filter.service.IgnoreUriUtil
 */
public class IgnoreUriUtil {

	private static final Logger log = LoggerFactory.getLogger(IgnoreUriUtil.class);

	private static final int IGNORE_URI_TIMEOUT = 60 * 60 * 3;// 超时时间 3小时,此处为秒

	/**
	 * referer跨站点的脚本编制白单
	 */
	public static Map<List<String>, String> CSRF_IGNORE_URI = new HashMap<List<String>, String>();
	
	/**
	 * 传入配置白单验证
	 * @title
	 * @date 2018年10月9日
	 * @author 爱兰河少
	 * @param bdUris
	 * @param request
	 * @return
	 */
	public static boolean isIgnoreUri(List<String> bdUris,ServletRequest request) {
		boolean legal = false;
		if (bdUris!=null) {
			HttpServletRequest httpServletRequest = (HttpServletRequest) request;
			String rawReferer = httpServletRequest.getHeader("referer");
			if (StringUtils.isNotBlank(rawReferer)) {
				// 获取refer的Host信息
				String referHost = getHost(rawReferer, false);
				if (bdUris.contains(referHost.toLowerCase())) {
					legal = true;
				}
			}
		}
		return legal;
	}

	public static boolean isIgnoreUri(ServletRequest request) {
		boolean legal = false;

		HttpServletRequest httpServletRequest = (HttpServletRequest) request;
		String rawReferer = httpServletRequest.getHeader("referer");
		if (StringUtils.isNotBlank(rawReferer)) {
			// 获取refer的Host信息
			String referHost = getHost(rawReferer, false);

			// 获取服务器的Host信息
			String serverHost = request.getServerName();
			serverHost = StringUtils.isNotBlank(serverHost) ? serverHost.toLowerCase() : serverHost;

			// 获取本地的Host信息,方便开发人员测试
			String localIp = httpServletRequest.getLocalAddr();
			localIp = StringUtils.isNotBlank(localIp) ? localIp.toLowerCase() : localIp;
			if (StringUtils.equals(serverHost, referHost)) {
				legal = true;
			} else if (StringUtils.equals("localhost", referHost) || StringUtils.equals("127.0.0.1", referHost)
					|| StringUtils.equals(localIp, referHost)) {
				legal = true;
			} else {
				legal = isIgnoreUri(referHost);
			}

		} else {
			legal = true;
		}
		return legal;
	}

	/**
	 * 是否在白单,当referHost为空是则认为是在白单信息中
	 * 
	 * @title
	 * @date 2018年8月17日
	 * @author 爱兰河少
	 * @param referHost
	 * @return
	 */
	public static boolean isIgnoreUri(String referHost) {
		boolean legal = false;
		if (StringUtils.isNotBlank(referHost)) {
			boolean newIgnore = false;
			List<String> bdUris = null;
			if (CSRF_IGNORE_URI.size() > 0) {
				String time = null;
				for (Map.Entry<List<String>, String> entry : CSRF_IGNORE_URI.entrySet()) {
					bdUris = entry.getKey();
					time = entry.getValue();
					break;
				}
				// 是否未超时
				if (isTimeout(time)) {
					newIgnore = true;
					bdUris = null;
				}
			} else {
				// 当为空时设置值
				newIgnore = true;
			}
			if (newIgnore) {
				bdUris = getBdUris();
				// 清空Map
				CSRF_IGNORE_URI.clear();
				// 设置值
				CSRF_IGNORE_URI.put(bdUris, getDate_yyyy_MM_dd_HH_mm_ss());
			}
			if (bdUris.contains(referHost.toLowerCase())) {
				legal = true;
			}else{
				if(StringUtils.equals("localhost", referHost) || StringUtils.equals("127.0.0.1", referHost)){
					legal = true;
				}
			}
		} else {
			legal = true;
		}
		return legal;
	}

	/**
	 * 
	 * @title
	 * @date 2018年8月17日
	 * @author 爱兰河少
	 * @param request
	 * @return
	 */
	public static boolean isFilterCountSuffix(ServletRequest request) {
		boolean legal = false;
		// 转换类型
		HttpServletRequest req = (HttpServletRequest) request;
		String uri = req.getRequestURI();
		String suffix = getUrlSuffix(uri);
		if ("js".equals(suffix) || "css".equals(suffix) || "jpg".equals(suffix) || "png".equals(suffix)
				|| "gif".equals(suffix)) {
			legal = true;
		}
		return legal;
	}

	/**
	 * 获取链接的后缀名
	 * 
	 * @return
	 */
	private static String getUrlSuffix(String url) {
		String suffix = "";
		if (StringUtils.isNotBlank(url)) {
			int index = url.lastIndexOf(".");
			if (index > 0) {
				suffix = url.substring(index + 1);
			}
			String[] spEndUrl = suffix.split("\\?");
			suffix = spEndUrl.length > 1 ? spEndUrl[0] : suffix;
			spEndUrl = suffix.split("\\,");
			suffix = spEndUrl.length > 1 ? spEndUrl[0] : suffix;
			spEndUrl = suffix.split("\\;");
			suffix = spEndUrl.length > 1 ? spEndUrl[0] : suffix;
			suffix = suffix.toLowerCase();
		}
		return suffix;
	}

	/**
	 * 获取白单Host信息
	 * 
	 * @title
	 * @date 2018年8月17日
	 * @author 爱兰河少
	 * @return
	 */
	private static List<String> getBdUris() {
		List<String> bdUris = new ArrayList<String>();
		List<Map<String, Object>> list = getIgnoreUri();
		for (Map map : list) {
			String v_url = MapUtils.getString(map, "V_URL");
			String urlHost = getHost(v_url, true);
			if (StringUtils.isNotBlank(urlHost)) {
				bdUris.add(urlHost.toLowerCase());
			}
		}
		return bdUris;
	}

	/**
	 * 获取url字符串的host
	 * 
	 * @title
	 * @date 2018年8月17日
	 * @author 爱兰河少
	 * @param v_url
	 * @param addUrl
	 *            当url地址不包含http://、https://、ftp://时添加http://前缀
	 * @return
	 */
	public static String getHost(String v_url, boolean addUrl) {
		String host = null;
		try {
			if (addUrl && !v_url.toLowerCase().startsWith("http://") && !v_url.toLowerCase().startsWith("https://")
					&& !v_url.toLowerCase().startsWith("ftp://")) {
				log.info("url读取Host白单信息时,url信息不符合规范:{}", v_url);
				v_url = "http://" + v_url;
			}
			URL url = new URL(v_url);
			host = url.getHost();
		} catch (MalformedURLException e) {
			log.error("Host白单读取出错:{}", e);
		}
		return host;
	}

	/**
	 * 是否超时
	 * 
	 * @title
	 * @date 2018年8月17日
	 * @author 爱兰河少
	 * @param time
	 * @return
	 */
	private static boolean isTimeout(String time) {
		String newTime = getDate_yyyy_MM_dd_HH_mm_ss();
		long mm = getMiaoCha(newTime, time);
		int max = IGNORE_URI_TIMEOUT;
		if (mm <= max) {
			return false;
		}
		return true;
	}

	/**
	 * 获取当前时间,格式为:年-月-日 时:分:秒
	 * 
	 * @title
	 * @date 2018年8月17日
	 * @author 爱兰河少
	 * @return
	 */
	private static String getDate_yyyy_MM_dd_HH_mm_ss() {
		return BaseUtil.now_yyyy_MM_dd_HH_mm_ss();
	}

	/**
	 * 计算两个时间差,精确到秒
	 * 
	 * @title
	 * @date 2018年8月17日
	 * @author 爱兰河少
	 * @param newTime
	 * @param oldTime
	 * @return
	 */
	private static long getMiaoCha(String str1, String str2) {
		SimpleDateFormat df = new SimpleDateFormat("yyyy-MM-dd HH:mm");
		Date one;
		Date two;
		// long days=0;
		long fzs = 0;
		try {
			one = df.parse(str1);
			two = df.parse(str2);
			long time1 = one.getTime();
			long time2 = two.getTime();
			long diff;
			if (time1 < time2) {
				diff = time2 - time1;
			} else {
				diff = time1 - time2;
			}
			// days = diff / (1000 * 60 * 60 * 24);
			fzs = diff / 1000;
		} catch (ParseException e) {
			e.printStackTrace();
		}
		return fzs;
	}

	/**
	 * 获取数据库Url信息, Map对应的数据里面需有Key为V_URL的信息,次参数对应的值则为白单信息
	 * 
	 * @title
	 * @date 2018年8月17日
	 * @author 爱兰河少
	 * @return
	 */
	private static List<Map<String, Object>> getIgnoreUri() {
		return LoginDataService.getInstance().getIgnoreUri();
	}
}

3、web.xml配置

<filter>
		<filter-name>CookieFilter</filter-name>
		<filter-class>cn.com.zwjp.framework.web.filter.CookieFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>CookieFilter</filter-name>
		<url-pattern>/*</url-pattern>
        <!-- 此处不可加FORWARD,否则Referer信息不在白单时会造成死循环
		<dispatcher>REQUEST</dispatcher>
	</filter-mapping>

 

欣怡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
Appscan漏洞之跨站点请求伪造CSRF
arkqyo2595的博客
06-06 1900
  公司前段时间使用了Fortify扫描项目代码,在修复完这些Fortify漏洞后,最近又启用了Appscan对项目代码进行漏洞扫描,同样也是安排了本人对这些漏洞进行修复。现在,针对修复过的Appscan漏洞也一一总结一下。本次先对Cross-site request forgery(跨站请求伪造漏洞进行总结如下: 1、跨站点请求伪造CSRF) 1.1、攻击原理   CSR...
web安全测试之appscan – “X-XSS-Protection”缺失或不安全 - 猿码设计师
Programming
06-06 3562
web安全测试之appscan – “X-XSS-Protection”缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-test3Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含X-XSS-Protection请求header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感
AppScan安全扫描:常见header安全问题处理
爱兰河少
01-30 7032
1、nginx配置添加一下代码: add_header X-Frame-Options 'SAMEORIGIN'; # 只允许本站用 frame 来嵌套 add_header X-XSS-Protection '1; mode=block'; # XSS 保护 add_header X-Content-Type-Options 'nosniff';#响应可以禁用浏览器的类型猜测行为 add_...
AppScan安全检测工具,检测出的问题解决
yangye1225的博客
12-29 7964
一、跨站点脚本请求编制 二、跨站点请求伪造 三、HTTP动词篡改的认证旁路
Web安全扫描工具:appscan安装和使用
最新发布
08-19
Web安全扫描工具AppScan是IBM Rational推出的一款强大的应用安全扫描软件,主要针对Web应用程序的安全检测。AppScan家族包含了多种版本,如Source Edition用于源代码安全扫描,Standard Edition用于Web应用的快速...
安全扫描工具AppScan10
05-29
2. **执行扫描**:启动扫描后,AppScan将自动遍历应用程序的所有路径,寻找可能安全漏洞。 3. **分析结果**:扫描完成后,AppScan会生成详细的报告,列出所有发现的问题,并按照严重程度排序。 4. **漏洞验证和...
web安全 扫描工具 Appscan .zip
05-27
一款强大的 web安全 扫描工具,可以对网站等 Web 应用 进行自动化的 应用安全扫描和 测试。
安全扫描工具HCL AppScan最新版本10.0.7
06-01
这些规则涵盖了各种已知的攻击模式、漏洞类型和安全最佳实践,例如SQL注入、跨站脚本(XSS)、跨站请求伪造CSRF)以及不安全的配置等。规则库的庞大数量意味着AppScan可以对各种复杂的安全问题进行深入检测,确保...
appscan_api_Demo:适用于AppScan演示的小型易受攻击的api
03-31
通过这个项目,用户可以学习如何创建安全的API设计原则,理解常见安全漏洞的成因,并掌握AppScan工具的使用技巧。此外,对于教育和培训目的,"appscan_api_Demo" 提供了一个实践环境,让开发者可以在不影响生产环境...
appscan-codesweep-action:将静态安全测试与HCL AppScan CodeSweep与Github集成
04-17
当添加到新的或现有的Github工作流中时,此操作将对所有已修改和已添加的代码行进行安全扫描。 易受攻击的代码行带有信息注释,以帮助开发人员解决问题。 在请求请求上调用操作,以便在代码合并到存储库之前使开发...
安全测试漏扫工具-HCL AppScan10.0.8,安全规则库28196
10-15
优秀的安全测试漏扫工具AppScan10.0.8,安全规则库28196,已经是最新的安全规则库了。支持:WEB应用程序、WEB api 、增量、完全配置等多种扫描方式。扫描工具里比较强大的,可以自动生成扫描报告。方便快捷。
安全扫描工具 AppScan9.0.3.7 破解版
08-07
1、下载文件,安装AppScan_Std_9.0.3.7_Eval_Win .exe 2、安装完成以后安装9.0.3.7_iFix003-Update更新包 3、安装完更新包,将破解补丁LicenseProvider.dll和AppScanSDK.dll复制到安装路径下替换源文件
AppScan 8.7_服务器安全扫描
07-04
**AppScan 8.7:服务器安全扫描利器** AppScan 8.7 是一款专业的服务器安全扫描工具,专为确保企业服务器的安全性而设计。它提供了全面的分析功能,能够帮助系统管理员检测并修复潜在的安全漏洞,从而保护服务器免...
IBM Appscan9.0.3安全扫描简单安装、使用以及高危漏洞修复-附件资源
03-05
IBM Appscan9.0.3安全扫描简单安装、使用以及高危漏洞修复-附件资源
IBM AppScan 安全扫描:Missing Content-Security-Policy ;X-Content-Type-Options ;X-XSS-Protection响应
热门推荐
崔向阳@李晓的博客
12-06 2万+
一问题:IBM AppScan 安全扫描提示: 二问题解决: 1. X-XSS-Protection 目的 这个header主要是用来防止浏览器中的反射性xss。现在,只有IE,chrome和safari(webkit)支持这个header。 正确的设置 0 – 关闭对浏览器的xss防护 1 – 开启xss防护 1; mode=block – 开启...
nginx过appscan默认扫描和绿盟扫描
wwppp987的博客
02-26 3481
最近刚用上appscan,报了不少漏洞,在这里进行一一解决,同时记录一下自己的参考资料,以备后人。 使用环境,phpstudy8.1 1、 Content-Security-Policy(禁止外链资源)、X-Content-Type-Options(固定安全值)、X-XSS-Protection(固定安全值)这三个文件缺失。 由于报js也是文件缺失(adminlte),phpstudy的ap...
CSRF 攻击的应对之道
java旅程
09-06 482
转载自:http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 **CSRF 攻击实例**
安全01-后台增加Referer校验防范CSRF跨站请求伪造
windows_apple的博客
12-01 3418
CSRF,中文名字,跨站请求伪造攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。 防范方案: 1、验证HTTP Referer字段。 2、请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务端对其进行验证) 3、将token加入http属性中,避免了token出现在浏览器中,被泄露。 Referer验证方案: 根据HTTP协议,在HTTP部中有一个Re
提升Web安全:预防XSS与CSRF攻击的策略与测试手段
3. 安全漏洞检测:如SQL注入、缓冲区溢出、异常处理信息泄露、端口扫描等,这些都可能导致安全漏洞,需通过工具如AppScan、AcunetixWebVulnerabilityScanner等进行扫描。 4. 木桶原理:识别系统中最薄弱的安全环节...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值