使用 Snyk 防止 Java 应用程序中的跨站点脚本 (XSS)

最新推荐文章于 2024-05-28 09:25:21 发布
最新推荐文章于 2024-05-28 09:25:21 发布
阅读量336 收藏
点赞数
文章标签: java xss spring servlet 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37116560/article/details/130966632
版权

Java 是一种强大的后端编程语言,也可用于为 Web 应用程序编写 HTML 页面。但是,开发人员在创建这些页面时必须了解与跨站点脚本 (XSS) 攻击相关的潜在安全风险。随着现代模板框架的兴起,通过适当的输入验证和编码技术防止安全攻击变得更加容易。然而,当开发人员选择在不使用模板框架的情况下创建自己的 HTML 页面时,引入漏洞的风险就会增加。 

例如,使用HttpServletResponseSpring MVC 应用程序中的对象将内容直接写入响应可能会为恶意用户将代码注入页面创造机会,从而导致潜在的 XSS 攻击。因此,开发人员必须采取措施,在编写 HTML 页面时采取适当的措施来防止 XSS 漏洞,从而确保其 Java Web 应用程序的安全性保持较高水平。

像下面这样的解决方案是实现服务器端呈现页面的一种简单方法,无需任何通常带有特定指令的花哨框架。但是,这种方法显然有一些缺点。

在没有模板框架的情况下在 Spring MVC 中编写 HTML 输出

假设您有一个 Web 应用程序,它获取产品名称并使用该对象将其显示在网页上HttpServletResponse。以下是您如何在 Spring MVC 控制器中实现此功能的示例:

``` @GetMapping("/direct") public void directLink (@RequestParam String param, HttpServletResponse response) throws IOException { Product prod = productService.getProductByName(param);

response.setContentType("text/html"); var writer = response.getWriter(); writer.write(head); writer.write("

"+ param + "

");

String output = "

" + "
  • " + "
  • %s
  • " + "
  • %s
  • " + "
  • %s
  • " + "
" + "
";

writer.write(String.format(output, prod.getDescription(), prod.getProductType(), prod.getPrice())); writer.write(foot);

response.getWriter().flush(); } ```

你能弄清楚上面的 Java 代码可能引入了什么样的安全漏洞吗?

使用 Snyk 代码查找 XSS

当仔细查看上面的函数时,您可能已经识别出至少一个 XSS 漏洞,甚至两个。当使用Snyk Code扫描我的应用程序时,我们会收到此方法中两个不同的 XSS 问题的通知。

有多种方法可以利用 Snyk 代码。让我们来看看三个不同的例子。从 Snyk Code 获得反馈给开发人员的最直接方式是在 IDE 中安装插件。我们有许多可用的不同 IDE 的插件。在下面的示例中,我展示了 IntelliJ 插件如何帮助我在开发过程中发现 XSS 问题。

Intellij 插件输出:

博客预防 xss 产品控制器

另一种选择是使用 Snyk CLI 运行 Snyk 代码。从终端运行命令snyk code test将为您提供如下输出。此方法在您的本地计算机上或作为 CI/CD 管道中自动构建的一部分很有用。

CLI 输出:

博客预防 xss 高漏洞

我想向您展示的第三个选项是 Web UI。对于此输出,我使用了与 Snyk 的 git 集成,并使用位于https://app.snyk.io的仪表板将我的 GitHub 存储库连接到 Snyk Web UI 。此解决方案扫描提交到我的存储库的代码以查找安全漏洞。 

网页界面输出:

博客预防 xss-snyk-代码报告

所有三种不同的扫描选项都向我表明,我需要解决两个不同的 XSS 安全问题——使用 Snyk Code 精确定位它们在我的代码中的确切位置。让我们分解它们,看看我们如何减轻它们。

反射型 XSS 

反射型 XSS 是一种 XSS 攻击,当用户将恶意代码注入到 Web 应用程序中,然后作为响应的一部分反射回用户时,就会发生这种攻击。在我提供的示例中,如果用户输入在写入响应之前未经过正确验证或清理,则恶意用户可能会注入一个脚本,该脚本将由查看该网页的其他用户执行。这种类型的 XSS 攻击通常用于窃取用户数据、修改网站内容或执行其他恶意操作。

上面的代码从 HTTP 请求参数中检索用户名,然后使用以下方法将其直接写入 HttpServletResponse 对象:

writer.write("<div class="panel-heading"><h1>"+ param + "</h1></div>")

此代码容易受到 XSS 攻击,因为它没有正确验证或清理用户输入。例如,恶意用户可以将 HTML 或 JavaScript 代码注入“name”参数,然后其他查看该网页的用户将执行这些代码。

例如:.../direct?param=<script>alert(document.cookie);</script>可能会泄露您的个人 cookie 信息。这意味着我们也可以在您不知情的情况下将此信息发送到另一台服务器。

Snyk Code 通过在第 93 行指出 XSS 为我发现了这个错误。

存储型 XSS

另一方面,存储型 XSS 是一种 XSS 攻击,其中恶意代码存储在服务器上,然后提供给访问受影响页面的所有用户。在我提供的示例中,如果用户输入未得到正确验证或清理,而是存储在数据库中,则恶意用户可能会注入一个脚本,该脚本将提供给所有查看受影响页面的用户。这种类型的 XSS 攻击可能特别危险,因为它会影响大量用户,并且即使在修复初始注入后也可能持续存在。

上面的代码从中检索产品ProductService,然后将它们作为输出字符串的一部分显示在字段中。但是,此代码容易受到存储型 XSS 攻击,因为它没有正确验证或清理来自数据库的输入。如果您不确定谁有权写入数据库,则清理尤为重要。例如,恶意用户可以提交包含 HTML 或 JavaScript 代码的产品说明,这些代码将存储在数据库中并提供给访问产品视图的所有用户。 

Snyk 代码在第 103 行指出了这个潜在的 XSS 问题,我们在product.description没有验证或清理的情况下将其插入到输出字符串中。

使用 Snyk 代码缓解 XSS 漏洞

为防止 XSS 漏洞,在将用户输入写入响应之前正确验证和清理用户输入非常重要。Snyk Code 已经通过指出可能的解决方案来帮助我们。一种方法是使用像Apache Commons Text这样的库来对输入进行编码并防止执行恶意代码。

博客防止 xss 字符串路径

使用该escapeHtml4()函数,我们可以确保反射型 XSS 和存储型 XSS 中的代码都被转义,以便在加载页面时不会执行。

显然,更多的库可以执行类似的转义。除了Apache Commons Text,您还可以查看OWASP 编码器。如果您使用Spring,您还可以使用 Spring 的HtmlUtils.htmlEscape

使用 Apache Commons 文本时,正确转义的代码可能如下所示:

``` @GetMapping("/direct") public void directLink (@RequestParam String param, HttpServletResponse response) throws IOException { Product prod = productService.getProductByName(param);

response.setContentType("text/html"); var writer = response.getWriter(); writer.write(head); writer.write("

"+ StringEscapeUtils.escapeHtml4(param) + "

");

String output = "

" + "
  • " + "
  • %s
  • " + "
  • %s
  • " + "
  • %s
  • " + "
" + "
";

writer.write(String.format(output, StringEscapeUtils.escapeHtml4(prod.getDescription()), StringEscapeUtils.escapeHtml4(prod.getProductType()), StringEscapeUtils.escapeHtml4(prod.getPrice())));

writer.write(foot); ```

小心使用模板框架

像 Thymeleaf 这样的模板框架可以帮助防止 XSS 漏洞。Thymeleaf 是一种流行的 Java 模板引擎,它包括对 HTML 转义的内置支持,这有助于通过对包含在呈现的 HTML 中的任何用户输入进行编码来防止 XSS 攻击。

但是,这在很大程度上取决于您创建模板的方式。例如,下面是您可以如何使用 Thymeleaf 来呈现类似于之前示例的产品:

```

```

在此示例中,th:text属性将被转义,但th:utext属性不会。此th:utext属性在不转义任何 HTML 标记或特殊字符的情况下呈现评论文本,并且可能容易受到 XSS 攻击。使用特定框架时,​​了解某些元素的行为方式至关重要。

在部署到生产环境之前捕获 XSS

防止 XSS 攻击是开发 Java Web 应用程序的开发人员最关心的问题。在开发过程中尽早识别和解决 XSS 漏洞至关重要。尽管清理用户输入可以有效缓解 XSS 攻击,但这并不总是足够的。

此外,重要的是利用正确的工具在 XSS 错误和其他安全问题投入生产之前将其捕获。Snyk Code 是一个有价值的免费工具,用于在开发周期的早期识别潜在的安全漏洞。通过采取主动的 XSS 预防方法并使用正确的资源和工具,开发人员可以帮助确保其 Java Web 应用程序的安全性和完整性。

youtian.L
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
snyk:CLI和构建时工具,用于查找和修复开源依赖项的已知漏洞
02-05
| Snyk可帮助您查找,修复和监视开源的已知漏洞 什么是Snyk? 目录: 安装 使用npm install -g snyk安装Snyk实用程序。 安装后,您将需要使用您的Snyk帐户进行身份验证: snyk auth 有关如何进行身份验证的更多详细信息,请参阅Snyk文档的部分。 命令行界面 snyk [options] [command] [package] 运行snyk --help可获得所有命令的快速概述,或有关CLI的完整详细信息,请阅读snyk.io 。 package参数是可选的。 如果未提供软件包,Snyk将针对当前工作目录运行该命令,从而允许您测试非公共应用程序
Java的10种方法防止XSS攻击
qq_28245087的博客
06-29 9711
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
java 富文本 xss_个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范...
weixin_39664010的博客
02-16 1134
昨天本博客受到了xss脚本注入攻击,3分钟攻陷……其实攻击者进攻的手法很简单,没啥技术含量。只能感叹自己之前竟然完全没防范。这是数据库里留下的一些记录。最后那人弄了一个无限循环弹出框的脚本,估计这个脚本之后他再想输入也没法了。类似这种:我立刻认识到这事件严重性,它说明我的博客有严重安全问题。因为xss跨站脚本攻击可能导致用户Cookie甚至服务器Session用户信息被劫持,后果严重。虽然攻击...
java 富文本 过滤xss_富文本XSS过滤
weixin_33575756的博客
02-24 1532
富文本内容要替换掉js代码主要防止xss,不是防止注入,防注入参数化写数据库就好了,或者将单引号替换为实体对象在做一些网站(特别是bbs之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 htmlencode 和 htmldecode 方法,因为这样连基本的html代码会被禁止掉。 我在网上搜索,也没有找到好的解决办法,倒...
kubernetes-monitor:使用Snyk查找和修复Kubernetes工作负载的漏洞
03-22
snyk / kubernetes-monitor 概括 监视Kubernetes集群安全的容器 先决条件 的存储空间为 。 来自Kubernetes集群的外部Internet访问。 正在安装 Snyk监视器( kubernetes-monitor )需要一些最少的配置项才能正常工作。 与任何Kubernetes部署一样, kubernetes-monitor在单个名称空间运行。 如果尚未访问要在其部署监视器的名称空间,则可以运行以下命令来创建该名称空间: kubectl create namespace snyk-monitor 注意,我们的名称空间称为snyk-monitor ,用于以下命令来确定资源范围。 Snyk监视器依赖于使用您的Snyk集成ID,该ID必须从Kubernetes机密提供。 这个秘密必须称为snyk-monitor 。 创建密钥的步骤如下: 从“
java站攻击_最好的正则表达式捕获XSS(站点脚本)攻击(在Java)?
weixin_39663970的博客
02-12 316
不要用正则表达式做到这一点。请记住,您不是仅仅针对有效的HTML进行保护;您正在保护Web浏览器创建的DOM。浏览器可以很容易地被欺骗从无效的HTML生成有效的DOM。例如,请参阅obfuscated XSS attacks的列表。您是否准备定制正则表达式以防止IE6 / 7/8上的Yahoo and Hotmail上的这个真实世界的攻击?这个IE6的攻击怎么样?该网站上未列出的攻击如何?杰夫的做...
Java Web项目抵御跨站脚本攻击(前后端共御)
啦啦啦小骑士的博客
11-12 2231
目录XSS攻击原理抵御方法针对前端代码实现 XSS攻击原理 XSS攻击指攻击者利用服务器漏洞,将恶意代码以文本的形式混杂进请求数据发送给服务器存储,服务器在未来渲染视图的时候会将该恶意代码也携带进去,客户端执行恶意脚本后会造成重要信息泄露。 XSS攻击的恶意代码通常是HTML标签包裹JavaScript脚本,形如<script>alert("恶意脚本")</script>,当页面出现这种结构的文本时,浏览器会误认为是正常的标签而进行渲染。 举一个简易的例子,假设攻击者的服务器为x
Snyk 依赖性安全漏洞扫描工具
weixin_42176112的博客
05-11 9369
Snyk可帮助您查找,修复和监视开源的已知漏洞 什么是Snyk? 目录: 安装 使用npm install -g snyk安装Snyk实用程序。 安装后,您将需要使用您的Snyk帐户进行身份验证: snyk auth 有关如何进行身份验证的更多详细信息,请参阅Snyk文档的部分。 命令行界面 snyk [options] [command] [package] 运行snyk --help可获得所有命令的快速概述,或有关CLI的完整详细信息,请阅读snyk.io 。 package参数是可选的。 如果未提供
java2年笔试题-Snyk-Java:Snyk-Java
06-20
java2年笔试题RxJava:JVM 的React式扩展 RxJava 是一个 Java VM 实现:一个使用可观察序列编写异步和基于事件的程序的库。 它扩展了对数据/事件序列的支持,并添加了运算符,允许您以声明方式将序列组合在一起,同时抽象出对诸如低级线程、同步、线程安全和并发数据结构等事物的关注。 版本 3.x () 单一依赖: Java 8+(脱糖友好) Java 8 lambda 友好的 API 修复了 API 错误和 RxJava 2 的许多限制 旨在通过相对较少的二进制不兼容更改来替代 RxJava 2 对并发源(线程、池、事件循环、纤程、参与者等)没有意见 异步或同步执行 参数化并发的虚拟时间和调度程序 通过测试调度程序、测试使用者和插件钩子提供测试和诊断支持 在 . :information: 请阅读有关从 2.x 升级时的更改和迁移信息的详细信息。 版本 2.x 处于维护模式,在 2021年2 月 28 日之前将仅通过错误修复提供支持。 2.x 不会接受或应用任何新功能、行为更改或文档调整。 版本 1.x 截至 2018 年 3 月 31 日,该产品已停产。 不会发生进一步的开发、支持、
snyk-intellij-plugin:基于IntelliJ平台的IDE的Snyk漏洞扫描程序
03-29
基于IntelliJ平台的IDE的Snyk漏洞扫描程序插件可帮助您在自己喜欢的IDE查找和修复项目的安全漏洞。 该插件无缝集成到您的开发环境,并扫描项目包含的开源依赖项以查找安全漏洞。 识别出的漏洞与可操作的...
站点脚本攻击xml文件
11-15
站点脚本攻击xml文件
snyk-demo-app:最初基于Falcor-hapi-demo的Snyk演示应用程序
05-10
Snyk演示应用 这是一个演示应用程序,并非旨在供实际使用。 这些漏洞是有意的,因此您可以查看。 它用作运行的教程的一部分,并且最初基于 。 有关更多详细信息,请阅读。
helm-snyk:检查图表的图像是否存在漏洞
05-02
检查您的Helm图表是否存在漏洞 ...该插件还需要本地Docker安装,并使用它来下载和测试图表发现的每个图像。 用法 安装了插件后,只需运行新的helm snyk test命令并将其指向图表目录即可。 例如: $ helm snyk tes
静态代码审计插件 snyk 使用教程
SHELLCODE_8BIT的博客
02-17 974
静态代码审计插件 snyk 使用教程
Snyk安全漏洞扫描使用记录
PinkCoder
03-31 7013
snyk安全漏洞扫描
java 站攻击脚本过滤工具类
qq_34874784的博客
11-23 392
java 站攻击脚本过滤工具类
snyk 项目漏洞检测
搬山境KL攻城狮的修炼手册
11-29 3671
snyk 项目漏洞检测 一、介绍 github 下载地址 二、idea插件 Snyk Vulnerability Scanner 三、使用示例
operator <=> (spaceship operator)
最新发布
janeqi1987的专栏
05-28 995
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
可以对应用使用间件及组件进行漏洞扫描的工具
06-01
有很多工具可以对应用使用间件及组件进行漏洞扫描。以下是几个比较常见的工具: 1. OWASP Dependency-Check:这是一个开源工具,可以检查应用程序依赖的组件是否有已知的漏洞。 2. Retire.js:这是一个 JavaScript 库,可以帮助检测应用程序使用JavaScript 库是否有已知的漏洞。 3. Snyk:这是一个基于云的工具,可以扫描应用程序使用的依赖关系,并提供有关漏洞和修复建议的详细信息。 4. Black Duck:这是一个商业工具,可以扫描应用程序使用的依赖关系,并提供有关漏洞和修复建议的详细信息。 5. Qualys Web Application Scanning:这是一个企业级漏洞扫描工具,可以对应用程序进行全面的漏洞扫描,包括检查间件和组件的漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

youtian.L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值