WEB安全扫描解决 XSS 攻击的解决方案

最新推荐文章于 2024-06-25 10:08:51 发布
最新推荐文章于 2024-06-25 10:08:51 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 程序人生进阶之路 BUG集合 文章标签: xss xss(跨站脚本攻击) WEB安全扫描 WEB安全扫描解决 XSS 攻击的解决方案
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36908872/article/details/82860067
版权

xss(跨站脚本攻击)

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

 

新方案

对于出现的问题,我这里有两点需要说,其一就是针对后台的验证逻辑,这个没有必要再详细说了,无非就行完善验证逻辑,针对可能出现的情况进行抽象,抽出通用的验证逻辑,对于个别的验证就单独处理,不过还是要考虑代码的复用性。

其二,是关于 XSS 攻击全局处理的。我这里给出两种解决方案,详述如下。

方案一

如果你遇到的情况,对与用户的输入、输出有明确的限制,而且对于特殊字符也有明确的规定,那么你可以自己写一个 XSSFilter,使用上面提到的情况二,对不建议输入的特殊字符进行过滤和清理,包括 SQL 注入的一些敏感信息,都是要过滤掉的。基本的 Filter 网上都有,你要做的就是针对自己的业务,再加入对危险字符的处理即可。

 

方案二

想到一句老话,站在巨人的肩膀上。第二种方案,就是站在巨人的肩膀上。推荐一款开源插件,xssProject,具体作者不详。GoogleCode 中提供相应了的源代码。想研究的可以自己去找一下。下面着重讲一下,如何在项目中集成 xssProject,并使之为我们服务。

首先,项目中需要引入 xssProtect-0.1.jar、antlr-3.0.1.jar、antlr-runtime-3.0.1.jar 等3个 jar 包。

然后,封装 request,代码如下。

public class NewXssHttpServletRequestWrapper extends HttpServletRequestWrapper {
 
	HttpServletRequest orgRequest = null;
	
	public NewXssHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
        orgRequest = request;
	}
	
 
    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name)
    {
    	System.out.println("NewXssFilter处理前的 Value = " + super.getParameterValues(name));
    	
        String value = super.getParameter(xssEncode(name));
        if (value != null)
        {
            value = xssEncode(value);
        }
        
        System.out.println("NewXssFilter处理后的 Value = " + value);
        
        return value;
    }
 
    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name)
    {
 
        String value = super.getHeader(xssEncode(name));
        if (value != null)
        {
            value = xssEncode(value);
        }
        return value;
    }
 
    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     * 
     * @param s
     * @return
     */
    private static String xssEncode(String s)
    {
        if (s == null || s.isEmpty())
        {
            return s;
        }
        
        StringReader reader = new StringReader( s );
        StringWriter writer = new StringWriter();
        try {
            HTMLParser.process( reader, writer, new XSSFilter(), true );
            
            return writer.toString();
        } 
        catch (NullPointerException e) {
            return s;
        }
        catch(Exception ex)
        {
            ex.printStackTrace();
        }
        
        return null;
        
    }
 
    /**
     * 获取最原始的request
     * 
     * @return
     */
    public HttpServletRequest getOrgRequest()
    {
        return orgRequest;
    }
 
    /**
     * 获取最原始的request的静态方法
     * 
     * @return
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest req)
    {
        if (req instanceof NewXssHttpServletRequestWrapper)
        {
            return ((NewXssHttpServletRequestWrapper) req).getOrgRequest();
        }
 
        return req;
    }
 
}

 

再然后,创建过滤器 NewXssFilter 。

public class NewXssFilter implements Filter {
 
	FilterConfig filterConfig = null;
 
	@Override
	public void destroy() {
		this.filterConfig = null;
	}
 
	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		String path = ((HttpServletRequest) request).getContextPath();
		String basePath = request.getScheme() + "://" + request.getServerName()
				+ ":" + request.getServerPort() + path + "/";
 
		// HTTP 头设置 Referer过滤
		String referer = ((HttpServletRequest) request).getHeader("Referer"); // REFRESH
		if (referer != null && referer.indexOf(basePath) < 0) {
			((HttpServletRequest) request).getRequestDispatcher(
					((HttpServletRequest) request).getRequestURI()).forward(
					((HttpServletRequest) request), response);
			System.out.println("referer不为空,referer >>>>>>>>>>>>>> " + referer);
		}
		NewXssHttpServletRequestWrapper xssRequest = new NewXssHttpServletRequestWrapper((HttpServletRequest) request);
		chain.doFilter(xssRequest, response);
	}
 
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		this.filterConfig = filterConfig;
	}
 
}

最后,在 web.xml 中配置过滤器 。

<filter>
	<filter-name>XssSqlFilter</filter-name>
	<filter-class>com.***.web.common.NewXssFilter</filter-class>
</filter>
<filter-mapping>
	<filter-name>XssSqlFilter</filter-name>
	<url-pattern>/*</url-pattern>
	<dispatcher>REQUEST</dispatcher>
</filter-mapping>

 

以上这些就是全部的内容了,针对 XSS 攻击的解决方案,写出来跟大家分享,个人建议使用 xssProject 来解决这一问题。毕竟 xssProject 已经提供了很完善的过滤、处理方案,你可以通过研究他的代码来进行扩展,如果需要的话。最后附上 xssProject 所需的三个 jar 包。

https://download.csdn.net/download/qq_36908872/10689585

张某某啊哈
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS漏洞扫描器(2种方法)
哆啦安全
12-14 5303
​1.使用ppmap检测和利用XSS漏洞 sudo apt-get install chromium ​ sudo sh -c 'echo "deb http://dl.google.com/linux/chrome/deb/ stable main" >> /etc/apt/sources.list.d/google.list' wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt...
web安全扫描工具Goby
03-31
【Goby:网络资产安全扫描工具】 Goby是一款专为Web安全...总的来说,Goby作为一个强大的Web安全扫描工具,结合了多种技术和资源,为企业提供了一站式的网络资产安全解决方案,有助于维护网络安全,预防潜在的攻击
xss漏洞扫描工具
03-12
它可以分析使用HTTP和HTTPS协议进行通信的应用程序,可以用最简单地形式记录它观察的会话,并允许操作人员以各种方 式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,可以满足你这种需要。不管是帮助开发人员调试其它方面 的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。
Web安全系列(三):XSS 攻击进阶(挖掘漏洞
Galaxy_0的博客
01-18 406
Web安全系列(三):XSS 攻击进阶(挖掘漏洞
XSS 安全漏洞介绍及修复方案
最新发布
墨鸦的博客
06-25 6504
XSS 安全漏洞介绍及修复方案
xss php漏洞扫描工具,XSpear:一款强大的XSS漏洞扫描器工具
weixin_34779096的博客
03-25 2880
XSpear XSS扫描器XSpear是一款基于RubyGems的的XSS漏洞扫描器。拥有常见的XSS漏洞扫描器主要特点基于模式匹配的XSS扫描检测alertconfirmprompt无头浏览器上的事件(使用Selenium)测试XSS保护旁路和反射参数的请求/响应反射的参数过滤测试event handlerHTML tagSpecial Char测试盲XSS(使用XSS Hunter,...
xss漏洞扫描
weixin_49071539的博客
12-13 1204
xss漏洞扫描教程 git clone https://github.com/hahwul/XSpear.git cd XSpear/ ls gem sudo gem install XSpear-1.4.1.gem (往后版本可能会更新,根据文件夹里的版本进行下载) XSpear -u “http://test.php.vulnweb.com/listproducts.php?cat=123” -v 1 推荐:https://bit.ly/35NOnDS 一个极易受攻击的安卓实验室,可以用来练习 ..
360webscan解决xss漏洞
05-26
在IT安全领域,XSS(Cross Site Scripting)漏洞是一种常见的Web应用安全问题,它允许攻击者注入恶意脚本到网页上,进而对用户进行欺诈、窃取敏感信息等操作。360 webscan是一款由360公司提供的网站安全检测工具,它...
「数据安全」网约车准入AI产品安全实践 - 漏洞分析.zip
11-27
综上所述,网约车准入AI产品的安全实践涉及到多个层面,包括安全认证、NGFW应用、企业安全策略、安全研究、Web安全解决方案以及安全管理。通过这些综合措施,可以大大提高AI产品的安全性,保护用户数据不被非法获取...
十大web安全扫描工具
12-14
- **简介**:Watchfire AppScan 是一款商业级别的 Web 安全测试工具,提供面的安全测试解决方案。 - **特点**: - 支持多种安全测试,包括跨站脚本、HTTP 响应拆分等。 - 整合到软件开发生命周期中,实现早期的...
企业安全建设技能树v1.0发布.pdf
09-18
9. **解决方案**:针对特定的安全问题,企业需要定制化的解决方案,这可能涉及集成多种工具和服务,如入侵检测系统(IDS)、身份验证解决方案安全信息和事件管理(SIEM)系统。 10. **数据分析**:利用数据分析...
扫描sql注入与xss攻击的牛b工具
11-02
扫描sql注射与xss攻击的牛b工具,适合新手初入渗透测试使用的工具,很好有效辅助你们对网站的渗透测试。
xss 网站攻击
Ryman的博客
03-03 1558
今天在对外的一个系统数据中,看到有一段js 脚本 上网一搜,原来这就是传说中的网站XSS攻击跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执
【2024版】最新推荐好用的XSS漏洞扫描利用工具
Libra1313的博客
01-25 2179
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会面互联网化提供安全保障。
XSS攻击
letterTiger的博客
07-28 1373
XSS称叫做Cross Site Scripting(跨站脚本攻击),之所以不叫CSS是应为和层叠样式表重名(CSS)。 被攻击的原因就是执行了非本站的脚本,该脚本有无边恶意,会盗取用户信息(cookie等登录信息,页面上的其他一切信息)。 XSS攻击又被分为两种,一种是反射型,另一种是存储型。 反射型指的是攻击脚本并没有存入网站数据库,而是隐藏在链接中,通过连接传播。只要用户点击了链接就...
网站常见漏洞-- XSS攻击
weixin_33754913的博客
11-15 242
跨站攻击,即CrossSiteScriptExecution(通常简写为XSS,因为CSS与层叠样式表同名,故改为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。很多人对于XSS的利用大多停留在弹框框的...
网站遭遇XSS注入如何排查及解决
weixin_54232686的博客
05-04 1249
预防XSS注入及解决
网站防止XSS攻击
changNet的专栏
07-19 1021
防止XSS攻击 名词解释:XSS 称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。 1、鹏云留学: XSS 是如何发生的呢 假如有下面一个textbox
网站安全(预防XSS攻击和SQL入注的封装函数)
猿分已尽的博客
06-04 158
预防XSS攻击,主要就是过滤用户的输入,通常使用的是Htmlspecialchars函数。这里主要介绍的是使用HTMLPurifier拓展库完成的过滤,HTMLPurifier下载地址http://htmlpurifier.org/ //防止xss攻击的特殊方法(过滤字符串) function fanXSS($string) { //require_once './Plugin/html...
IBM Rational AppScan:Web应用安全测试解决方案
Web应用安全解决方案的重要性在于,随着互联网技术的发展,Web应用已经成为企业与用户交互的主要平台,同时也是黑客攻击的主要目标。通过使用像AppScan这样的工具,企业可以有效地评估和增强其Web应用的安全性,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值