XSS注入攻击

最新推荐文章于 2024-06-17 15:49:53 发布
最新推荐文章于 2024-06-17 15:49:53 发布
阅读量2.4k 收藏 5
点赞数
分类专栏: 安全漏洞 文章标签: xss攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16860417/article/details/81001094
版权
定义:  
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。
XSS攻击的危害包括
1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
3、盗窃企业重要的具有商业价值的资料
4、非法转账
5、强制发送电子邮件
6、网站挂马
7、控制受害者机器向其它网站发起攻击


使用过滤器防止xss攻击:

public class BugFilter implements Filter {

 private static Logger logger = Logger.getLogger(BugFilter.class);
 
 //定义存放非法参数属性文件的值集合
 private static List<String> list = new ArrayList<String>();
 
 //程序加载时执行且仅执行一次读取属性文件内容
 static{
  Properties prop = new Properties();
  try {
   //加载属性文件
   prop.load(BugFilter.class.getResourceAsStream("/conf/param.properties"));
   //读取属性文件的键集合
   Set<String> set = prop.stringPropertyNames();
   for(String str : set) {
    //获取每个属性的值
    String param = prop.getProperty(str);
    list.add(param);
   }
  } catch (IOException e) {
   e.printStackTrace();
   logger.debug("加载属性文件param.properties时出错!");
  }
 }
 
 public BugFilter() {
 }

 public void destroy() {
 }

 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
  
  Map map=request.getParameterMap();
  HttpServletRequest req=(HttpServletRequest)request;
  HttpServletResponse rs=(HttpServletResponse)response;
  
  
  //logger.debug("BugFilter---"+map.size());
  
  //add by liushuang start  添加客户端请求信息
  //logger.info("------客户端ip:"+((HttpServletRequest)request).getRemoteAddr());
  //logger.info("------客户端端口号:"+((HttpServletRequest)request).getRemotePort());
  //logger.info("------请求详细地址及参数:"+((HttpServletRequest)request).getRequestURI()+"?"+((HttpServletRequest)request).getQueryString());
  //add by liushuang end
  
  if(isInvalidParams(map.values().toArray()) || isInvalidParams(map.keySet().toArray()) || isInvalidParams(new Object[]{req.getRequestURL().toString(),req.getQueryString()})){
   logger.error("BugFilter error 存在非法请求---");
   logger.error("------客户端ip:"+((HttpServletRequest)request).getRemoteAddr());
   logger.error("------客户端端口号:"+((HttpServletRequest)request).getRemotePort());
   logger.error("------请求详细地址及参数:"+((HttpServletRequest)request).getRequestURI()+"?"+((HttpServletRequest)request).getQueryString());
   
   rs.reset();
   rs.sendRedirect(req.getContextPath()+"/error.jsp");
  }else{
   chain.doFilter(request, response);
  }
 }

 /**
  * 检查params里的参数是否非法,非法则返回true
  * @param params 被检查的参数,params数组可以为字符串数组,也可以为字符串数组的数组
  * @return 当params里字符串含有非法字符串时返回true,否则返回false;
  */
 public boolean isInvalidParams(Object[] params){
  if(params.length == 0){
   return false;
  }
  for (int i = 0; i < params.length; i++) {
   if(params[i]!=null){
    String[] value;
    if (params[i] instanceof String[]) {
     value = (String[]) params[i];
    } else {
     value = new String[]{(String) params[i]};
    }
    for (int j = 0; j < value.length; j++) {
     if(containInvalidString(value[j])){
      logger.error("发现非法参数------"+value[j]);     
      return true;
     }
    }
   }
  } 
  return false;
 }
 
 /**
  * 检查是否包含非法字符
  * @param content
  * @return
  */
 private boolean containInvalidString(String content) {
  Pattern[] patterns = null;
  String regex = "";
  
  if(list.size() == 0){
   return false;
  }
  
  //定义正则表达式的编译表示形式的数组
  patterns = new Pattern[list.size()];
  
  for (int j = 0; j < list.size(); j++) {  
   regex = (String) list.get(j);
   if (!StringUtil.isEmpty(regex)) {
    //将给定的正则表达式编译到具有给定标志的模式中。
    //CASE_INSENSITIVE,启用不区分大小写的匹配。
    patterns[j] = Pattern.compile(regex,
      Pattern.CASE_INSENSITIVE);
   }
  }
  
  for (int k = 0; k < patterns.length; k++) {
   //创建匹配给定输入与此模式的匹配器。
   Matcher m = patterns[k].matcher(content);
   //尝试查找与该模式匹配的输入序列的下一个子序列。
   if (m.find()) {
    return true;
   }
  }
  
  return false;
 }

 
 public void init(FilterConfig fConfig) throws ServletException {
  
 }
}

非法字符实例:

#illegal param list
param.1=<\\\\s*script[^>]*>.*<\\\\s*/\\\\s*script[^>]*>
param.2=<.*script[^>]*>.*<.*script[^>]*>
param.3=<.*script[^>]*>
param.4=<.*embed[^>]*>
param.5=<.*object[^>]*>
param.6=<.*layer[^>]*>
param.7=<.*style[^>]*>
param.8=<.*meta[^>]*>
param.9=<.*iframe[^>]*>
param.10=<.*frame[^>]*>
param.11=<.*link[^>]*>
param.12=<.*import[^>]*>
param.13=<.*xml[^>]*>
param.14=<.*href[^>]*>
param.15=<.*input[^>]*>
param.16=<.*url[^>]*>
param.17=<.*input[^>]*>
param.18=<.*javascript[^>]*>
param.19=<.*vbscript[^>]*>
param.20=<.*expression[^>]*>
param.21=<.*tr[^>]*>
param.22=<.*td[^>]*>
param.23=<.*html[^>]*>
param.24=(<style[^>]*>[^>]+)(expression|javascript|vbscript|-moz-binding)(.*</style[^>]*>)
param.25=(<[^>]*)AllowScriptAccess([^>]*>)
param.26=drop\\\\s+table|xp_cmdshell|netlocalgroup\\\\s+administrators|net\\\\s+user|""|((insert|delete|update|truncate|exec)\\\\s+)
param.27=%00
param.28=<\\\\s*a\\\\s+[^>]*href[^>]*http\\\://
param.29=(<[^>]*)(javascript|vbscript|livescript|ms-its|mhtml|data|firefoxurl|mocha):([^>]*>)
param.30=(<[^>]*style=[^>]+)(expression|javascript|vbscript|-moz-binding)([^>]*>)
param.31=(<[^>]*style\\\=.*)/\\\\*.*\\\\*/([^>]*>)
param.32=(<style[^>]*>.*)/\\\\*.*\\\\*/(.*</style[^>]*>)
param.33=onmouseover\\\\s*\\\=|onmouseout\\\\s*\\\=|onmousedown\\\\s*\\\=|onmouseup\\\\s*\\\=|onmousemove\\\\s*\\\=|onclick\\\\s*\\\=|ondblclick\\\\s*\\\=|onkeypress\\\\s*\\\=|onkeydown\\\\s*\\\=|onkeyup\\\\s*\\\=|ondragstart\\\\s*\\\=|onerrorupdate\\\\s*\\\=|onhelp\\\\s*\\\=|onreadystatechange\\\\s*\\\=|onrowenter\\\\s*\\\=|onrowexit\\\\s*\\\=|onselectstart\\\\s*\\\=|onload\\\\s*\\\=|onunload\\\\s*\\\=|onbeforeunload\\\\s*\\\=|onblur\\\\s*\\\=|onerror\\\\s*\\\=|onfocus\\\\s*\\\=|onresize\\\\s*\\\=|onscroll\\\\s*\\\=|oncontextmenu\\\\s*\\\=|ACUstart|ACUend|cmdshell|truncate|alert|confirm|prompt
param.34=.*getWriter.*
param.35=.*FileOutputStream.*
param.36=.*getRuntime.*
param.37=.*getRequest.*
param.38=.*getProperty.*
param.39=.*\\\\\\\\u0023.*
param.40=.*\\\\\\\\43.*
#param.41=.*\\*.*
#param.42=.*\\\:.*
param.43=.*'.*
#param.44=.*\\".*
#param.45=.*,.*
param.46=.*<.*
#param.47=.*>.*
#param.48=.*;.*
#param.49=.*add.*
param.50=.*exec.*
#param.51=.*insert.*
#param.52=.*select.*
#param.53=.*delete.*
#param.54=.*update.*
#param.55=.*count.*
param.56=.*chr.*
#param.57=.*mid.*
param.58=.*master.*
param.59=.*truncate.*
param.60=.*char.*
param.61=.*declare.*

几页--潇潇雨
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java的SQL注入XSS攻击
weixin_44976692的博客
01-15 2万+
通过了解和防范SQL注入XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发中,安全问题一直备受关注,其中SQL注入XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入中注入恶意的SQL代码,从而篡改、查询或者删除数据库中的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击(跨站脚本攻击)**则是通过在Web页面中注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
XSS跨站脚本攻击
weixin_30505225的博客
04-26 1057
1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身...
XSS注入(跨站脚本攻击
wwwwyyyrre的博客
06-13 6518
今天学习一下xss注入
XSS注入总结
最新发布
2401_84466229的博客
06-17 1505
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…在检查到XSS攻击时,停止渲染页面。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
XSS注入
weixin_45711977的博客
06-28 6344
xss注入
XSS脚本注入攻击
热门推荐
不忘初心,护天下安全!
11-23 1万+
XSS攻击 参考:https://www.freebuf.com/column/154178.html 不同于大多数攻击(一般只涉及攻击者和受害者),XSS涉及到三方,即攻击者、客户端与网站。XSS攻击目标是为了盗取客户端的cookie或者其他网站用于识别客户端身份的敏感信息。获取到合法用户的信息后,攻击者甚至可以假冒最终用户与网站进行交互。 XSS漏洞成因是由于动态网页的Web应用对用户...
web漏洞利用---XSS注入攻击
m0_65129142的博客
12-20 5424
XSS漏洞简介 XSS注入漏洞又称为"跨站脚本攻击(Cross Site Scripting)",为了不和层叠样式表(Cascading Style Sheets,CSS)混淆,所以将跨站脚本攻击缩写为XSSXSS注入攻击的原理其实和SQL注入攻击的原理很相似,攻击者将恶意的Script代码插入到网页中,当正常用户浏览该页面时,被嵌入的恶意Script代码就会被执行,从而达到恶意攻击正常用户的目的。 XSS分类 跨站脚本注入漏洞是由于WEB服务器读取了用户可控数据输出到HTML页面的过程中没有进行安全处理
java xss 注入攻击
05-27
在 Java 中,防止 XSS 注入攻击可以采取以下措施: 1. 对用户输入的数据进行过滤和验证,避免恶意代码的插入。例如,可以使用一些开源的 XSS 过滤器,如 OWASP 的 ESAPI 库或是 Google 的 GSON 库。 2. 对用户输入...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
XSS攻击是通过在网页中注入可执行的脚本,当用户访问被注入脚本的页面时,这些脚本会在用户的浏览器环境中运行,从而可能执行攻击者设计的各种操作。PDF文件中的XSS攻击则是在PDF阅读器解析文档时触发恶意脚本,而...
Web安全——XSS脚本注入攻击
Daisy花园
03-06 4159
好久不发文章,我表示…我还活着。 只不过最近在写Git-books,所以忽略了我的这个博客。这两天在看Web安全相关的东西,觉得确实有意思。XSS跨站脚本攻击XSS 意为跨站脚本攻击(Cross Site Scripting),缩写应该是CSS,但是已经有了一个层叠样式表(Cascading Style Sheets),所以就叫它XSS了。恶意攻击者往Web页面里插入恶意Script代码,当用户浏
xss注入
shake863
01-16 171
先看看一个例子: [code="java"]http://localhost/php-1.php?key=%dd%22;alert(document.cookie);//[/code] 下面是php的代码: [code="java"] $key = $_GET['key']; echo ""; echo "var a = \"".addslashes($key)."\"&quo
Java防止Xss注入json_XSS的两种攻击方式及五种防御方式
weixin_39639518的博客
11-20 1632
XSS介绍跨站脚本攻击指的是自己的网站运行了别的网站里面的代码攻击原理是原本需要接受数据但是一段脚本放置在了数据中:该攻击方式能做什么?获取页面数据获取Cookies劫持前端逻辑发送请求到攻击者自己的网站实现资料的盗取偷取网站任意数据偷取用户密码和登陆状态改变按钮的逻辑XSS攻击类型其实XSS的种类非常的多尤其是变种的特别多,大致可以分为两种反射型:是通过URL参数直接注入,一般是使用alert来...
XSS 注入
fanhaiwang520的专栏
09-04 2417
XSS注入的本质就是根据用户的输入,无形中生成一段可执行非法的js代码 常见的注入: 1.只有IE6和IE7   :UTF7-XSS 不防在IE6或者IE7下输入这样一段代码: +/v8 +ADw-script+AD4-alert(document.location)+ADw-/script+AD4- 发现会生成这样一段代码:alert(document.location)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值