Java代码审计之XSS攻击

最新推荐文章于 2024-07-26 16:43:29 发布
最新推荐文章于 2024-07-26 16:43:29 发布
阅读量1.6k 收藏 6
点赞数 2
分类专栏: 从入门到入狱 文章标签: java xss 安全 web安全 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18980147/article/details/128226592
版权

深入了解Java中的XSS攻击

存在XSS漏洞的java代码:

第一段

反射型XSS

@RequestMapping("/reflect")
    @ResponseBody
    public static String reflect(String xss) {
        return xss;
    }

payload

http://localhost:8888/xss/reflect?xss=%3Cscript%3Ealert(%27tpa%27);%3C/script%3E

在这里插入图片描述

第二段

存储型XSS

@RequestMapping("/stored/store")
    @ResponseBody
    public String store(String xss, HttpServletResponse response) {
        Cookie cookie = new Cookie("xss", xss);
        response.addCookie(cookie);
        return "Set param into cookie";
    }

访问如下地址存储脚本到Cookie中

http://localhost:8888/xss/stored/store?xss=%3Cscript%3Ealert(%27tpa%27)%3C/script%3E

在这里插入图片描述

当后端再获取Cookie返回时

@RequestMapping("/stored/show")
@ResponseBody
public String show(@CookieValue("xss") String xss) {
    return xss;
}

访问

http://localhost:8888/xss/stored/show

成功弹窗

在这里插入图片描述

修复

目前最有效的办法,对特殊字符进行实体转义。

XSS安全代码:

@RequestMapping("/safe")
    @ResponseBody
    public static String safe(String xss) {
        return encode(xss);
    }

    private static String encode(String origin) {
        origin = StringUtils.replace(origin, "&", "&");
        origin = StringUtils.replace(origin, "<", "&lt;");
        origin = StringUtils.replace(origin, ">", "&gt;");
        origin = StringUtils.replace(origin, "\"", "&quot;");
        origin = StringUtils.replace(origin, "'", "&#x27;");
        origin = StringUtils.replace(origin, "/", "&#x2F;");
        return origin;
    }

XSS排查

利用xsstriker等工具进行扫描

手动输入特殊字符看被没被实体转义

关键字:getParamter、<%=、param

tpaer
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计XSS
大河之犬的博客
12-16 1万+
XSS 漏洞是指攻击者在网页中嵌入客户端脚本(通常是 JavaScript 编写的恶意代码),进而执行其植入代码的漏洞。若 Web 应用未对用户可直接或间接控制的“输入”与“输出”参数进行关键字过滤或转义处理,则很可能存在跨站脚本漏洞。
java 预防XSS攻击
08-23
Java开发项目,预防XSS攻击后台编写
java-sec-code xss和csrf
weixin_44687621的博客
08-19 364
XSS漏洞 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。 一般来说,只要将用户输入的数据不经任何处理就返回到前端,是极易产生XSS漏洞的。 反射型xss 为了让我们方便理解,作者这里没有使用其他花里胡哨的html页面 @RequestMapping("/reflect"
Java处理xss漏洞
最新发布
qq_30563727的博客
07-26 274
使用一些专门的安全库来处理用户输入,例如OWASP Java Encoder Project,可以帮助你安全地处理用户输入(shiro框架内置了OWASP)。在显示用户输入内容时,对其进行HTML转义,以防止HTML注入攻击。可以使用框架或库提供的工具来实现这一点。对用户输入进行验证和过滤,确保只允许合法、安全的输入。例如,可以使用正则表达式来检查输入内容是否符合预期格式。对输入的长度进行限制,防止用户输入过长的内容。在服务器端对用户输入进行再次检查和过滤,不要依赖客户端的验证,因为客户端验证可以被绕过。
常见的XSS攻击代码
weixin_30621711的博客
11-09 648
第一类: <tag on*=*/> 在html标签中触发事件 Example: 1.加载完毕自动触发事件 <body onload="alert('xss')"></body> 2.使html某元素撑满整个页面 <p onclick="alert('1')" style="postion:fixed;width:100%;hei...
Java防止xss攻击jar包
03-29
Java防止xss攻击依赖jar包
Java xss攻击(跨站脚本攻击)
热门推荐
夏风
12-22 1万+
发现问题 最近我们的服务器频繁的遭到黑客攻击,真是让人头疼啊,痛定思痛,仔细想想为什么我们会被攻击呢,肯定是我们的代码有漏洞啊,那么我们如何检测我们站点的漏洞呢,首先比较大众的就是通过360网站安全检测(http://webscan.360.cn/),但是发现这个太简单了,不够专业,那么我们再来一个专业的Acunetix Web Vulnerability Scanner,这个软件是收费的,
java 防止xss攻击
breezylee09的专栏
05-08 404
关于xss的概念和解决方案网上很多,可以参考这个: http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeH...
java代码审计XSS
糖小喵
04-16 960
介绍: 对于和后端有交互的地方没有做参数的接收和输入输出过滤,导致恶意攻击者可以插入一些恶意的 js 语句 来获取应用的敏感信息。 审计思路: 扫描所有的 HttpServletRequest 查看相关的上下文环境。 这里以javasec为例: 先将1存储进去 这里是将xss存储到了cookie里边 访问就可以看见了 javasec处理方法: 这里提供几个具...
代码审计(Java)——WebGoat_Xss
weixin_45260839的博客
08-16 673
代码审计(Java)——WebGoat_Xss
Java代码审计XSS漏洞详解
悦分享
01-23 122
跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSSXSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
XSS跨站脚本攻击在Java开发中防范的方法
01-09
XSS跨站脚本攻击在Java开发中防范的方法
Java解决XSS攻击方式
weixin_44858201的博客
03-30 1万+
前言 在项目验收阶段,通常会对待验收项目做一些安全漏洞的测试,比如接口攻击,并发测试,XSS注入,SQL恶意注入测试,安全越权等操作,这时,就是考验项目的安全方面是否做的足够健壮的时候,本篇对XSS脚本攻击在实际WEB项目中的处理办法,提供2种可实行的方法 XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 F
java代码审计xss
qq_34778376的博客
03-11 363
漏洞描述 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 缺陷代码 protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { String input1 = req.getParameter("input1"); [..
Java代码审计-XSS审计
baimaozi008的博客
05-24 1065
XSS是Cross Site Scripting的缩写,意为"跨站脚本攻击",为了避免与层叠样式表(Cascading Style Sheet,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。XSS是指攻击者在网页中嵌入客户端脚本(通常是JavaScript编写的恶意代码),进而执行其植入的代码的漏洞,若Web应用未对用户可直接活间接控制的"输入"或者"输出"进行关键字的过滤或者转义处理,则很有可能存在跨站脚本漏洞。
Java代码审计7之XSS
划水的小白白
07-29 416
1、漏洞代码 2、修复XSS 2.1、单个文件修复 2.2、通用过滤 3、一些补充 之前的文章, php代码审计14之XSS
java实战:Java处理XSS漏洞的四种方法及代码示例
oandy0的博客
02-16 1万+
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击
xss攻击代码 java_【web安全xss攻击java 解决方案
weixin_39807067的博客
02-28 324
1. 自己写 filter 拦截来实现,但要注意的时,在WEB.XML 中配置 filter 的时候,请将这个 filter 放在第一位.2. 采用开源的实现 ESAPI library3. 可以采用spring 里面提供的工具类来实现.一, 第一种方法。web.xml文件Filter配置XssFilter新编写XssFilter路径XssFilter/*编写Filter过滤器publiccla...
java xss代码审计
12-15
下面是Java代码审计中防范XSS攻击的一些方法: 1. 对用户输入的数据进行过滤和转义,例如将特殊字符转义为HTML实体,可以使用OWASP推荐的ESAPI库来实现。 2. 使用安全的输出方法,例如JSTL的标签或Spring框架的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值