Springboot -- 网络安全漏洞处理

已于 2022-03-01 14:23:04 修改
阅读量9k 收藏 10
点赞数 2
分类专栏: 异常记录 避坑指南 文章标签: spring boot web安全 nginx
于 2022-02-26 15:37:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40096897/article/details/123149982
版权

文章目录

不安全的 HTTP 方法以及 Nginx 屏蔽版本号显示

说明

Web服务器在默认情况下开放了一些不必要的HTTP方法(如OPTIONS,DELETE、PUT、TRACE、MOVE、COPY),增加了受攻击的几率,所以对于我们不需要使用的HTTP方法,要做出尽量限制,避免非法访问的发生。

以 OPTIONS 为例:
其主要用途包括:
1、获取服务器支持的HTTP请求方法;也是黑客经常使用的方法。
2、用来检查服务器的性能。例如:AJAX进行跨域请求时的预检,需要向另外一个域名的资源发送一个HTTP OPTIONS请求头,用以判断实际发送的请求是否安全。

检测方式

  • 随便挑选一个开发接口,例如我们选取一个用 GET 方式请求的接口。
  • 将请求方式修改为 OPTIONS
  • 查看响应结果
    在这里插入图片描述
    以上的响应结果其实暴露出两个问题:
    1、不安全的 HTTP 方法
    2、nginx 不应该显示版本号

不安全的 HTTP 方法 处理代码

修改 Springboot 内置 Tomcat 的配置

@Configuration
public class TomcatConfig {

    @Bean
    public ServletWebServerFactory servletContainer() {

        TomcatServletWebServerFactory tomcatServletContainerFactory = new TomcatServletWebServerFactory();

        tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer(){
  
           @Override
           public void customize(Context context) {
            SecurityConstraint constraint = new SecurityConstraint();
            SecurityCollection collection = new SecurityCollection();
            //http方法
            collection.addMethod("PUT");
            collection.addMethod("DELETE");
            collection.addMethod("HEAD");
            collection.addMethod("OPTIONS");
            collection.addMethod("TRACE");
            //url匹配表达式 所有路径
            collection.addPattern("/*");
            constraint.addCollection(collection);
            //设置以上HTTP方法在指定路径下需要身份验证约束
            constraint.setAuthConstraint(true);
            context.addConstraint(constraint );

            //设置使用httpOnly
            context.setUseHttpOnly(true);
           }
        });
        return tomcatServletContainerFactory;
    }
}

屏蔽 Nginx 版本号显示

  • 打开 nginx 主配置文件添加属性:
http {
  server_tokens off;
}

server {
  server_tokens off;
}

点击劫持漏洞

说明

查看HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。
防止服务器响应头信息中没有X-Frame-Options,从而存在ClickJacking攻击的风险。

什么是ClickJacking

点击劫持(用户界面补救攻击,UI补救供给,UI攻击)是一种恶意技术,他通过诱骗 Web 用户点击与用户认为他们正在点击的内容不同的东西,从而可能泄露机密信息或控制他们的计算机,同时点击看似无害的网页。
点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

检测方式

使用AWVS,我使用的版本是 10.5 ,安装后登录网页 localhost:8183,配置如下:
在这里插入图片描述在这里插入图片描述在这里插入图片描述
查看结果:
显示 X-Frame-Options 响应头丢失
在这里插入图片描述

处理代码

@Component
public class IdentityInterceptor extends HandlerInterceptorAdapter
{

    ......
    
	/**
	 * 在业务处理器处理请求执行完成后,生成视图之前执行的动作 可在modelAndView中加入数据,比如当前时间
	 */
	@Override
	public void postHandle(HttpServletRequest request,
			HttpServletResponse response, Object handler,
			ModelAndView modelAndView) throws Exception
	{
		//网络安全要求 增加 x-frame-options 响应头 防止ClickJacking攻击
		response.addHeader("x-frame-options","SAMEORIGIN");
	}
	
    ......
    
}

若是服务由Nginx转发,还需要修改Nginx配置

http{
	add_header X-Frame-Options SAMEORIGIN;
}

或者

server{
	add_header X-Frame-Options SAMEORIGIN;
}

XSS跨站脚本攻击

说明

跨站脚本是一种经常出现在web应用程序中的计算机安全漏洞,是由于web应用对用户提交请求参数未做充分的检查过滤,允许用户在提交的数据中加入HTML\JS代码,未加编码地输出到第三方用户浏览器,恶意攻击者可以利用JS、activeX、html语言甚至flash应用的漏洞,发送恶意代码给另一个用户,因为浏览器无法识别脚本是否可信,从而跨站漏洞脚本便运行并让攻击者获取其他用户信息。

取自百度百科的举例:
用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。有关攻击方法的详细情况将在下面阐述。

检测方式

在AWS中检测:
在这里插入图片描述

处理代码 (参考网上的代码,主要是对传入的信息进行敏感字符的过滤)

public final class HttpRequestWrapper extends HttpServletRequestWrapper {
 
    private Map<String, String> xssMap;
     
    public HttpRequestWrapper(HttpServletRequest request) {
        super(request);
    }
 
    public HttpRequestWrapper(HttpServletRequest request,
            Map<String, String> xssMap) {
        super(request);
        this.xssMap = xssMap;
    }
 
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        // 遍历每一个参数,检查是否含有
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }
 
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }
 
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null)
            return null;
        return cleanXSS(value);
 
    }
 
    /**
     * 清除恶意的XSS脚本
     * 
     * @param value
     * @return
     */
    private String cleanXSS(String value) {
        Set<String> keySet = xssMap.keySet();
        for(String key : keySet){
            String v = xssMap.get(key);
            value = value.replaceAll(key,v);
        }
        return value;
    }
}


/**
 * 防止 XSS 跨站脚本攻击
 */
@Component
public class XSSFilter implements Filter {

    // XSS处理Map
    private static Map<String,String> xssMap = new LinkedHashMap<String,String>();
     
    public void init(FilterConfig filterConfig) throws ServletException {
        // 含有脚本:script
        xssMap.put("[s|S][c|C][r|R][i|C][p|P][t|T]", "");
        // 含有脚本 javascript
        xssMap.put("[\\\"\\\'][\\s]*[j|J][a|A][v|V][a|A][s|S][c|C][r|R][i|I][p|P][t|T]:(.*)[\\\"\\\']", "\"\"");
        // 含有函数: eval
        xssMap.put("[e|E][v|V][a|A][l|L]\\((.*)\\)", "");
        // 含有符号 <
        xssMap.put("<", "&lt;");
        // 含有符号 >
        xssMap.put(">", "&gt;");
        // 含有符号 (
        xssMap.put("\\(", "(");
        // 含有符号 )
        xssMap.put("\\)", ")");
        // 含有符号 '
        xssMap.put("'", "'");
    }
     
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        // 强制类型转换 HttpServletRequest
        HttpServletRequest httpReq = (HttpServletRequest)request;
        // 构造HttpRequestWrapper对象处理XSS
        HttpRequestWrapper httpReqWarp = new HttpRequestWrapper(httpReq,xssMap);
        // 
        chain.doFilter(httpReqWarp, response);
 
    }
 
    public void destroy() {
         
    }
}
Mingvvv
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IIS漏洞
scu_hacker博客
01-18 3375
一、PUT文件写入 1.1 影响范围 IIS6.0 1.2 漏洞详情 由于IIS开启了扩展webDAV,并且配置了写入权限,导致可以上传文件 可以首先抓包使用OPTIONS方法查看能够使用的http方法 然后使用PUT方法上传一个jsp内容的txt文件 接着使用MOVE方法将此txt文件移动到其他地方并且改名为.asp文件 然后直接连接就行。 二、短文件漏洞 2.1 漏洞原理 为了兼容DOS命令,windows为长文件名文件生成...
Web 应用程序报告: 启用了不安全的“OPTIONS”HTTP 方法 建议:禁用 WebDAV,或者禁止不需要的 HTTP 方法 spring boot
weixin_41147129的博客
09-24 4908
Web 应用程序报告 有一项叫做启用了不安全的“OPTIONS”HTTP 方法 然后他会建议 禁用WebDAV,或者禁止不需要的 HTTP 方法 WebDAV: Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持
启用了不安全的“OPTIONS”HTTP方法 - OPTIONS *
akaiyijian001的博客
05-04 1593
方法,该方法被认为是危险的,部分漏扫工具会认为其用了WebDAV。通过源码debug,tomcat会对。通过构造请求进行源码debug。请求时,响应报文请求头。进行特殊处理,该实现在。
探索Web安全的利器:XSSMAP深度解析与应用
最新发布
gitblog_00019的博客
06-10 370
探索Web安全的利器:XSSMAP深度解析与应用 项目地址:https://gitcode.com/Jewel591/xssmap 在数字时代,网站安全性成为每个开发者不可忽视的重要环节。今天,我们将深入探讨一款强大的开源工具——XSSMAP,它是检测Web应用程序中跨站脚本(Cross-Site Scripting, XSS)漏洞的尖兵,为网络安全爱好者和专业人员提供了强有力的支援。 项目介绍 ...
4.1.HTTP网络请求原理
深情小建
09-18 651
HTTP是一种应用层协议,它通过TCP实现了可靠的数据传输,能够保证数据的完整性、正确性,而TCP对于数据传输控制的优点也能够体现在HTTP上,使得HTTP的数据传输吞吐量、效率得到保证。对于移动开发来说,网络应用基本上都是C/S架构,也就是客户端/服务器架构。客户端通过向服务器发起特定的请求,服务器返回结果,客户端解析结果,再将结果展示在UI上。客户端与服务器的交互如下图: 详细的交互流程有
漏洞挖掘-不安全的HTTP方法
weixin_48421613的博客
01-09 3534
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
启用了不安全的http请求方法 OPTIONS
星语惜馨的博客
10-22 5776
tomcat配置: 在tomcat的web.xml中添加如下的代码后重启tomcat,注意添加后只对tomcat下的目录有效。参照所需禁用的http方法添加。 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
基于SpringBoot编写的常见Web漏洞安全开发学习平台.zip
05-18
【描述】: "这个项目是一个基于SpringBoot框架的Java应用,旨在为学生和开发者提供一个学习和实践Web安全漏洞开发的平台。它涵盖了从基础到进阶的各种Web安全问题,包括但不限于SQL注入、XSS跨站脚本攻击、CSRF跨站...
springboot_host
01-11
"springboot_host"这个主题主要涉及的是Spring Boot应用如何处理和防止与主机(host)相关的安全漏洞。 主机漏洞通常涉及到恶意用户通过注入恶意的主机名来攻击系统,例如DNS欺骗或中间人攻击。在Spring Boot应用中...
tomcat 升级到8.5.99后,系统启动不起来问题(修复 CVE-2024-24549 拒绝访问漏洞
04-16
CVE(Common Vulnerabilities and Exposures)是一种全球性的标准,用于唯一标识网络安全漏洞。这个特定的漏洞可能导致拒绝服务(DoS,Denial of Service)攻击,即攻击者通过某种方式使得合法用户无法正常使用服务...
springboot整合XSS
03-20
3. 使用最新的安全框架和库,定期更新以修复已知漏洞。 4. 在服务器端和客户端同时实施防护策略,提高安全性。 5. 建立严格的访问控制和权限管理,限制不必要的数据暴露。 综上所述,Spring Boot结合Spring ...
启用了不安全的http方法漏洞
01-09
web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
处理XSS攻击的调研和落地方案
11-17
网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,主要针对Web应用程序。XSS攻击允许攻击者向受害者注入恶意脚本,从而控制用户的浏览器行为,获取敏感信息。针对SpringBoot项目中的XSS攻击,我们...
[安全]检测出项目内的安全漏洞,如启用了不安全的HTTP方法,会话Cookie中缺少某某属性等
PerryHsu的博客
07-04 1670
目录 1.启用了不安全的HTTP方法 2.开启OPTIONS方法 3.错误页面Web应用服务器版本泄露 4.X-Frame-Options Header未配置 5.会话Cookie中缺少secure/HttpOnly属性 6.敏感目录 前段时间收到了第三方发过来的网站安全评估报告,发现我所管理的很多项目有各种漏洞,总结下来如下,做个笔记以便后续自己写项目时注意避免和修正,...
AppScan扫描启用了不安全的“OPTIONS”HTTP 方法
liudoyang的博客
12-26 3311
**服务器禁止不需要的 HTTP 方法## ** 目前项目进行交付时,测试方给到一个安全检测报告。其中有一个问题是:启用了不安全的“OPTIONS”HTTP 方法。给到的建议是禁用 WebDAV,或者禁止不需要的 HTTP 方法。由于测试服务器是Tomcat,而线上服务器为websphere,在网上找了许多资源,始终都是Tomcat的解决办法。现在记录一下websphere解决问题思路,给使用we...
安全的 HTTP请求 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 1655
安全的 HTTP请求 漏洞原理以及修复方法
OPTIONS 漏洞修复
Z
12-22 6258
OPTIONS 漏洞修复。主要包括三种情况:更改 Nginx 配置、更改 Tomcat 配置、SpringBoot 项目增加过滤器。
启用了不安全的HTTP方法
u013673367的专栏
08-20 2013
启用了不安全的HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
SpringBoot项目中禁用OPTIONS请求方法,修复启用OPTIONS方法漏洞
ZQL666123的博客
10-20 2254
SpringBoot项目中禁用OPTIONS请求方法,修复启用OPTIONS方法漏洞漏洞扫描时修复漏洞
springboot防止网络病毒
06-01
Spring Boot主要是一个Java开发框架,它本身并不直接涉及网络安全问题。但是,在使用Spring Boot开发应用时,需要注意以下几点,以防止网络病毒的攻击。 1. 更新软件和库:及时更新Spring Boot以及使用的各种库和组件,确保所有组件都是最新版本,以修复已知的漏洞安全问题。 2. 使用安全协议:在应用程序中使用HTTPS协议,以加密网络传输并防止中间人攻击。 3. 强密码和加密存储:在用户注册和登录时,使用强密码策略,并将密码以加密方式存储在数据库中,防止攻击者通过破解密码访问系统。 4. 防止SQL注入:如我之前所说,使用参数化查询语句可以防止SQL注入攻击,从而保护应用程序的数据库。 5. 控制访问权限:在应用程序中,对不同的用户和角色进行访问控制,只允许授权用户执行合法的操作,从而防止滥用权限造成的损失。 综上所述,要防止网络病毒的攻击,需要从多个方面入手,包括软件和库更新、使用安全协议、强密码和加密存储、防止SQL注入和控制访问权限等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mingvvv

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值