今日偶遇XSS跨站非法参数请求接口问题及解决思路与方案

最新推荐文章于 2022-12-05 21:16:32 发布
最新推荐文章于 2022-12-05 21:16:32 发布
阅读量1.3k 收藏 1
点赞数
文章标签: java intellij idea 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41543857/article/details/110548449
版权
本文介绍了在项目中遇到的由于恶意拼接请求参数导致的XSS安全问题,分析了问题的原因,并提出了解决方案,包括检查web.xml的filter配置,实现请求参数的XSS过滤,以及引入相关过滤库来防止非法字符的请求。
摘要由CSDN通过智能技术生成

项目场景:

恶意拼接的请求参数导致请求异常
如:http://localhost:8080/项目名/a/后台接口?参数a=4ec986e3f05d2bf3b6d’%22()%26%25%3Cacx%3E%3CScRiPt%20%3EllLO(9789)%3C/ScRiPt%3E

原因分析:

先将上述请求单独拎出来,请求后看页面展示的非法字符是什么 比如我这边是: "> 或者%cs 各种各样的都有 然后此时已经很明了了,我们需要将上述的非法字符再过滤器中过滤掉

解决方案:

首先看项目中是否引用了相关过滤器
如先检查web.xml中的filter配置是否有引用相关过滤包
1.

  <filter>
    <filter-name>securityValidateFilter</filter-name>
    <filter-class>com.xx.filter.xxFilter</filter-class>  //该过滤包请在主页获取
  </filter>
  <filter-mapping>
    <filter-name>securityValidateFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

2.在xxFilter包中的doFilter方法中在获取到所有的请求参数后添加一层判断XSSValidate.xssHTMLValidate(sq

最低0.47元/天 解锁文章
An_学无止境
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
xss加载但没反应——CSP简介与绕过
不想当脚本小子的脚本小子
02-08 3086
如果xss加载了但是没反应,可能是有CSP—内容安全策略——可以抓包看看有没有Content-Security-Policy 内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,明确告诉客户端(制定比较严格的策略和规则),来告诉浏览器什么是被授权执行的与什么是需要被禁止的。即使攻击者发现漏洞,但是它是没办法注入脚本的其被誉为专门为解决XSS攻击而生的神器。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。 使用 CSP 配置内容安全策略涉及到添加 Co...
当 Nginx 出现请求非法参数,如何处理?
最新发布
技术笔记
07-25 627
处理 Nginx 中的非法参数就像是一场与“捣乱分子”的战斗,需要我们有清晰的思路、有效的策略和果断的行动。通过了解非法参数的类型和特点,采取合适的处理方式,加强预防措施,并结合实际案例进行分析和优化,我们能够让 Nginx 这位“交通警察”更好地指挥数据流量的通行,保障我们的网络服务稳定、高效地运行。随着技术的不断发展和应用场景的日益复杂,非法参数的处理也将面临新的挑战和机遇。我们需要不断学习和探索,跟上时代的步伐,为构建更加安全、可靠的网络环境贡献自己的力量。
请求服务器显示非法请求,请求被服务器识别为非法请求, 但使用 postman/curl 可以正常通过...
weixin_39847728的博客
08-02 5230
请求被服务器识别为非法请求, 但使用 postman/curl 可以正常通过背景: 有一个接口通过 postman/curl 测试正常.问题: 但我用 python 的 requests 库构造了一个 GET 请求, 请求的 headers 完全和 postman 发出的一样,但是被服务器识别为非法请求(返回的 http status 为 200, body 的错误描述为非法请求). 1. 它是怎...
网络安全-跨站请求伪造(CSRF)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
关于接口暴露问题解决思路
未知世界
04-19 3730
前一两天在讨论群里,我提出过一个关于接口暴露的问题与群友们进行讨论,后来无甚结果,所以把自己这一问题在这里提出来,希望和大家讨论讨论。 该问题主要是关于对外接口暴露的问题(此接口并非指java中的interface,而是指用户编程时可使用的接口),例如有一个类的大部分方法是不应该暴露给用户的,然而事实上,因为设计问题,任何一个用户都可以创建该类的实例以至于使用它,虽然在实际当中,可能没...
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
XSS与CSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
2020-12-16
qq_41543857的博客
12-16 77
之前解决跨站与sql注入时filter配置说明 <filter-mapping> <filter-name>securityValidateFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> filter的< url-pattern > /* </ url-pattern >对于所有本项目的请求都将被过滤
解决Discuz!NT"Code: 100, Message: 指定..."问题
净心编程
11-30 1679
解决Discuz!NT"Code: 100, Message: 指定..."问题解决Discuz!NT"Code: 100, Message: 指定的参数不存在或不是有效参数"问题检查了参数并没有不存在或者错误。后来终于发现,似乎            DiscuzSession ds = new DiscuzSession(api_key, secret, url
jmeter发送post请求,提示 “非法请求” 的解决办法
彼岸•仰望的博客
04-14 4209
问题:jmeter发送post请求,提示 “非法请求” 原因: 1、缺乏必要的参数 查看请求参数是否正确,多了还是少了 2、缺cookie 添加**“HTTP Cookie管理器”** 3、缺少请求头,或请求头信息和登录的有差异 如:toLogin和get-project-apply-list,这两个接口请求头中,User-Agent该参数值需保持一致 ...
帝国cms漏洞分析前台XSS漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-05 1985
帝国cms漏洞分析前台XSS漏洞 一、帝国cms漏洞描述 该漏洞是由于javascript获取url的参数,没有经过任何过滤,直接当作a标签和img标签的href属性和src属性输出。 二、帝国cms漏洞复现 1、需要开启会员空间功能(默认关闭),登录后台开启会员空间功能。
预防XSS攻击,(参数/响应值)特殊字符过滤
weixin_34200628的博客
12-17 1545
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phi...
xss攻击原理与解决方法html编码,XSS攻击处理(示例代码)
weixin_31201737的博客
05-31 5297
1、什么是XSS攻击XSS又称为CSS(Cross SiteScript),跨站脚本攻击。其原理是攻击者向有XSS漏洞的网站中“嵌入”恶意的HTML代码,当其他用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如:盗取用户Cookie、重定向到其他网站等。理论上,所有可以输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞。漏洞的厉害取决于攻击代码的能力。2、XSS攻击常见危害...
跨站请求伪造解决方案
NumOneDD的博客
06-30 1万+
AppScan 跨站请求伪造 Token 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 1.跨站请求伪造 首先,什么是跨站请求伪造? 跨站请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 说的白话一点就是,别的站点伪造你的请求,最可怕
跨站请求伪造解决办法之——过滤referer
weixin_34362991的博客
04-06 3849
 当然,referer也是可以伪造的,Http请求本身就没有不能伪造的东西。 所以本方法只能在一定程度上防止非法请求,仅供参考。   项目的web.xml中增加过滤器: &lt;filter&gt; &lt;filter-name&gt;RefererFilter&lt;/filter-name&gt; &lt;filter-class&gt...
跨站请求报错解决方法
陈东的博客
09-29 4095
为了实验,我们开2个Web服务器,一个监听在3000另一个监听3001端口,不妨称作站点A和站点B。下图是B站点通过AJAX访问A站点,可以看到有报错。 这是因为浏览器为了安全目的阻止了这个「跨站请求」,我们把这个策略叫做same origin policy。为了绕开这个限制,有一个规范:Cross-Origin Resource Sharing (CORS)。 CORS的基本原理是这样的。 ...
Spring-Security 自定义Filter完成验证码校验
asd00017的博客
12-13 542
 Spring-Security的功能主要是由一堆Filter构成过滤器链来实现,每个Filter都会完成自己的一部分工作。我今天要做的是对UsernamePasswordAuthenticationFilter进行扩展,新增一个Filter,完成对登录页面的校验码的验证。下面先给一张过滤器的说明,接下来讲自定义的登录验证Filter。 https://docs.spring....
XSS跨站脚本攻击详解与防御策略
XSS(Cross-Site Scripting)跨站脚本攻击是Web安全领域的一个重要问题,它利用网站的信任机制,将恶意脚本注入到网页中,当其他用户访问这些页面时,恶意脚本会在用户的浏览器中执行,从而可能导致数据窃取、用户...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值