系统对安全漏洞的处理(url,请求param,formData,ajax)

最新推荐文章于 2024-05-03 18:01:49 发布
最新推荐文章于 2024-05-03 18:01:49 发布
阅读量455 收藏 1
点赞数
分类专栏: java 安全漏洞处理 文章标签: java spring filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengjj2/article/details/116757631
版权

web系统对安全漏洞的部分控制


在spring,springmvc构建的web系统中,普遍存在部分xss的安全漏洞,一般分为以下几种情况,下面针对每一种情况来做一下xss的过滤。
技术的背景:spring5,springmvc,tomcat用war包部署

url的xss过滤

在springmvc中,过滤url的xss,可以通过定制自己的UrlPathHelper来做处理。首先在springmvc.xml中加入自定义的UrlPathHelper:

<bean id="xssPathHelper" class="你的包.XssUrlPathHelper"></bean>
	<mvc:annotation-driven>
     	<mvc:message-converters register-defaults="true">
	    	<ref bean="stringHttpMessageConverter"/>
			<ref bean="jsonHttpMessageConverter"/>
   		</mvc:message-converters>
  		<mvc:path-matching path-helper="xssPathHelper"/>   		
     </mvc:annotation-driven>

自定义的XssUrlPathHelper:

public class XssUrlPathHelper extends UrlPathHelper{

   @Override
   public Map<String, String> decodePathVariables(HttpServletRequest request, Map<String, String> vars) {
   	Map<String, String> result = super.decodePathVariables(request, vars);
         if(!ContainerUtil.isEmpty(result)){
           for(String key : result.keySet()){
             result.put(key, cleanXSS(result.get(key)));
           }
         }
         return result;
   }
   
   private String cleanXSS(String value){
         return HtmlUtils.htmlEscape(value);
    }
}

请求params的xss过滤

请求参数的过滤可以使用过滤器XssFilter进行过滤,web.xml中配置过滤器。

<filter>  
     	<filter-name>XssFilter</filter-name>  
     	<filter-class>com.elementspeed.common.filter.XssFilter</filter-class>  
	</filter>  
	<filter-mapping>  
	     <filter-name>XssFilter</filter-name>  
	     <url-pattern>/*</url-pattern>
	     <dispatcher>REQUEST</dispatcher>  
	</filter-mapping>

XssFilter类:

public class XssFilter implements Filter {
	
	FilterConfig filterConfig = null;  
	  
    public void init(FilterConfig filterConfig) throws ServletException {  
        this.filterConfig = filterConfig;  
    }  
  
    public void destroy() {  
        this.filterConfig = null;  
    }  
  
    public void doFilter(ServletRequest request, ServletResponse response,  
            FilterChain chain) throws IOException, ServletException {  
        chain.doFilter(new XssHttpServletRequestWrapper(  
                (HttpServletRequest) request), response);  
    }  
}

对应的XssHttpServletRequestWrapper:

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
	public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }
    @Override
	public String[] getParameterValues(String parameter) {
      String[] values = super.getParameterValues(parameter);
      if (values==null)  {
         return null;
      }
      int count = values.length;
      String[] encodedValues = new String[count];
      for (int i = 0; i < count; i++) {
                 encodedValues[i] = XssUtil.cleanXSS(values[i]);
       }
      return encodedValues;
    }
    @Override
	public String getParameter(String parameter) {
          String value = super.getParameter(parameter);
          if (value == null) {
                 return null;
                  }
          return XssUtil.cleanXSS(value);
    }
    @Override
	public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
			return null;
		}
        return XssUtil.cleanXSS(value);
    }
}

formdata的xss过滤

如果使用formdata提交,则参数方式无法过滤,需要使用@InitBinder

@InitBinder
public void initBinder(WebDataBinder binder) {
		//去掉参数的前后空格
		binder.registerCustomEditor(String.class, new XssStringEditor(true));
}

对应的XssStringEditor:

public class XssStringEditor extends StringTrimmerEditor{
	public XssStringEditor(boolean emptyAsNull) {
		super(emptyAsNull);
	}

	@Override
	public void setAsText(@Nullable String text) {
		if(!StringUtils.isEmpty(text)) {
			text = XssUtil.cleanXSS(text);
		}
		super.setAsText(text);
	}
}

ajax的xss过滤

ajax的提交数据在body里面,上面的都拦截不到,需要自定义json的转换器,springmvc.xml中配置:

<bean id="jsonHttpMessageConverter" class="你的包.XSSMappingJackson2HttpMessageConverter">
    	<property name="prettyPrint" value="true" />
		<property name="supportedMediaTypes">
			<list>
			 <value>application/json;charset=UTF-8</value>
			 <value>text/html;charset=UTF-8</value>
			</list>
		</property>
    </bean>

对应的转换器类:XSSMappingJackson2HttpMessageConverter

public class XSSMappingJackson2HttpMessageConverter extends MappingJackson2HttpMessageConverter{

	@Override
	public Object read(Type type, Class<?> contextClass,
	HttpInputMessage inputMessage) throws IOException,
	HttpMessageNotReadableException {
		Object obj = super.read(type,contextClass, inputMessage);
		Object resultObj = null;
		try {
			String json = super.getObjectMapper().writeValueAsString(obj);
			String result = cleanXSS(json.toString());
			JavaType javaType = getJavaType(type, contextClass);
			resultObj = super.getObjectMapper().readValue(result, javaType);
		}catch (Exception e) {
			return obj;
		}
	    return resultObj;
	}

	private String cleanXSS(String value) {
		return XssUtil.cleanXSS(value);
	}

}

通用工具类,因为多个地方都使用,所以用一个工具类统一处理:

public class XssUtil {
	public static String cleanXSS(String value) {
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        /*value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");  */
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("[s|S][c|C][r|R][i|C][p|P][t|T]", "");
        //value = value.replaceAll("src[\\r\\n]*=[\\r\\n]*\\\\\\'(.*?)\\\\\\'", "");
        //value = value.replaceAll("src[\\r\\n]*=[\\r\\n]*\\\\\\\"(.*?)\\\\\\\"", "");
        value = value.replaceAll("script", "");
        return value;
    }

}
家门吹雪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java url form data_java – @FormDataParam和@FormParam之间有什么区...
weixin_36299242的博客
02-28 959
> @FormDataParam应该与Multipart类型数据一起使用(即multipart / form-data或MediaType.MULTIPART_FORM_DATA),它的原始形式看起来像Content-Type: multipart/form-data; boundary=AaB03x--AaB03xContent-Disposition: form-data; name="...
ajax在Xss中的利用,Ajax Web应用程序的XSS漏洞检测
weixin_32602879的博客
08-06 8373
摘要:Web2.0已成为目前网络上的热点技术,作为其核心技术的Ajax给用户带来了无刷新的网络快速浏览新体验。但是,临界于桌面应用程序的“胖客服端”与Web应用程序的“瘦客户端”机制,Ajax技术的使用造成web应用程序同时具备这两种客户端特点的安全威胁。一方面Ajax将部分逻辑转嫁到客户端相应的暴露程序的部分业务逻辑;另一方面与Web服务器的交互信息以及可能的匿名访问也存在着潜在的攻击利用价值。...
从客户端(FormData) 中检测到有潜在危险的 Reques...
zhang123csdn的博客
08-26 272
从客户端(FormData) 中检测到有潜在危险的 Reques...
2024年网安最新新来的妹纸问我 AJAX 请求为什么不安全?没有回答出来。。。
最新发布
2301_82257383的博客
05-03 701
最后说下,几种常见的CSRF防御手段:1. 验证HTTP Referer字段(非常简单,但是鉴于客户端并不可信任,所以并不是很安全)(防止CSRF,检查Referer字段简单直接,但是其完全依赖浏览器发送正确的Referer字段。虽然http协议对此字段的内容有明确的规定,但并无法保证来访的浏览器的具体实现,亦无法保证浏览器没有安全漏洞影响到此字段。并且也存在攻击者攻击某些浏览器,篡改其Referer字段的可能。2. 在请求地址中添加token并验证。
xss过滤器无法处理ajax请求_信息安全中之XSS的危害
weixin_39934257的博客
11-30 400
通过 XSS 攻击,黑客能做什么?我们知道,这 3 种 XSS 攻击,都是因为黑客在用户的浏览器中执行了恶意的 JavaScript 脚本。那么执行这些 JavaScript 脚本有什么样的危害呢?我把这些危害总结了一下,可以分为下面几种。1. 窃取 Cookie从上面的例子中,我们可以看到,黑客可以窃取用户的 Cookie。因为黑客注入的 JavaScript 代码是运行在 http://ser...
Web编程 Ajax,跨域,XSS攻击
weixin_46131409的博客
06-25 1162
一.Ajax(Asynchronous Javascript And XML;异步JS与XML) 1.简介: 即使用JS与Server进行异步交互,传输XML数据(不过不一定是XML,现在JSON用的更多) 同步交互:发送1个请求,就要等待Server的响应结束,然后才能发送第2请求 异步交互:发送1个请求后,无需等待Server响应,就可以发送第2个请求 特点: 1.使用JS向Server发送异步请求 2.浏览器页面局部刷新 场景示例:见下图 2.基于JQuery的Ajax实现 <butt
使用axios请求时,发送formData请求的示例
01-19
最近做的一个项目中有一个特例接口,传json后端接收不到,对接的后端又不愿意改接口,只能用formData方式传参,由于好多年没有用过formData,头痛了一会,找到了解决方法,发现非常简单,在此做个笔记! var ...
jquery分隔Urlparam方法(推荐)
10-22
下面小编就为大家带来一篇jquery分隔Urlparam方法(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
AJAX-技术入门介绍.zip_ajax_异步请求
09-21
当用户触发一个AJAX请求时,JavaScript会创建一个新的XMLHttpRequest对象,然后调用其`open()`方法来指定请求类型(GET或POST)、URL以及是否异步执行。接着,使用`send()`方法发送请求。在请求处理期间,可以监听...
jquery的ajax请求全面了解
10-27
总结来说,jQuery的Ajax函数提供了丰富的选项来处理异步请求,从简单的数据获取到复杂的错误处理和数据序列化。这些工具使开发者能够构建更加互动和动态的Web应用,提升用户体验。通过理解和熟练运用这些方法,你...
C#自定义针对URL地址的处理类实例
09-03
在实际开发中,此类可以作为公共服务,提供给其他模块使用,简化URL处理的代码,提高代码的可读性和复用性。需要注意的是,使用此类时,应确保对URL参数进行适当的验证和清理,防止潜在的安全问题,如SQL注入或跨站...
ajax在Xss中的利用,XSS高级利用
weixin_29416629的博客
08-06 5793
点击阅读利用 xss 的 javascript 劫持一个 xss 漏洞示例页面12345678910$xss = @$_GET['xss'];if($xss!==null){echo $xss;}?>这段代码中首先包含一个表单,用于向页面自己发送 GET 请求,带一个名为 xss 的参数。 然后 PHP 会读取该参数,如果不为空,则直接打印出来,这里不存在任何过滤。也就是说,如果 xss 中...
致远OA ajax.do 文件上传漏洞202010
nex1less的博客
01-12 4764
0x00 漏洞产生原因 某远未授权访问分析 - 宽字节安全 - 博客园 (cnblogs.com) 0x01影响范围 V7,V8 0x02 漏洞利用 1.漏洞url:/seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip 2.poc: [{'formulaType': 1, 'formulaName': '...
从致远OA-ajax.do未授权文件上传漏洞复现
qq_52469895的博客
04-11 8249
打开网站 任何测试它有没有未授权文件上传 http://xxx/seeyon/thirdpartyController.do.css/…;/ajax.do 通过抓取数据包,可以看到如下的数据请求和返回结构: 返回状态404返回notfound 然后直接poc这个jspx的马是在网上找到 http://x.x.x.x/seeyon/autoinstall.do/..;/ajax.do?method=ajaxAction&managerName=formulaManage
ajax全局防xss,在Ajax接收的数据上的JavaScript中防止XSS
weixin_36467693的博客
08-05 1411
我从数据库接收数据,然后使用jQuery ajax将结果添加到HTML元素中,如下所示:$.ajax({url: "getDatabaseData.php",type: "post",dataType: "json",success: function(response){$("#message-div").html(response[0].user_input_message);}});这是从数...
AJAX请求真的不安全么?谈谈Web安全与AJAX的关系。
s44359487yad的博客
01-05 190
开篇三问 AJAX请求真的不安全么? AJAX请求哪里不安全? 怎么样让AJAX请求更安全? 前言 本文包含的内容较多,包括AJAX,CORS,XSS,CSRF等内容,要完整的看完并理解需要付出一定的时间。 另外,见解有限,如有描述不当之处,请帮忙及时指出。 正文开始… 从入坑前端开始,一直到现在,AJAX请求都是以极高的频率重复出现,也解决过不少AJAX中遇到的问题,如跨域调试,...
xss过滤器无法处理ajax请求_原创 | 记一次失效的XSS过滤器修复
weixin_39677870的博客
12-08 706
点击上方蓝字关注我们奇怪的XSS过滤器一般在实际Web开发中,我们常常需要过滤/编码页面传递给后台的特殊字符,防止xss跨站脚本攻击。使用过滤器Filter可以很好的完成这个功能。前段时间某项目的研发使用过滤器进行XSS过滤后,进行复测,发现一个奇怪的现象,原本网站全局的xss,变成了只有部分接口存在xss。一开始以为过滤器的匹配接口路径存在问题,查看代码发现开发是通过写HttpServ...
AJAX-
Koite的博客
03-10 254
AJAX简介 AJAX全称为Asynchronous JavaScript And XML,就是异步的JS和XML 是一种在无需重新加载整个网页的情况下,能够更新部分页面内容的新方法 通过ajax可以在浏览器中向服务器发送异步请求,最大的优势:无刷新获取数据 ajax不是新的编程语言,而是一种将现有的标准组合在一起使用的新方式 XML简介 XML:可扩展标记语言。被设计用来传输和存储数据 XML和HTML类似,不同的是HTML中都是预定义标签,XML中没有预定义标签,全都是自定义标签,用来表示
request payload 和 form data 过滤器filter设置,防xss
03-10 1989
今天做了一个防xss攻击的filter,原理是利用继承HttpServletRequestWrapper类,来替换http请求的参数,, 因为项目中需要上传文件,所以涉及到了payload和formdata的区别,这两者的区别就不多说了,用Content-Type属性可用区分出,,,需要两个类继承自HttpServletRequestWrapperFormDataXssRequest.java
获得param1后转发formdata请求把参数也带上,用代码形式展示
02-18
const param1 = 'foo';const formData = new FormData(); formData.append('param1', param1);const xhr = new XMLHttpRequest(); xhr.open('POST', '/someurl'); xhr.send(formData);

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值