Xss过滤器之文件上传特殊处理

最新推荐文章于 2024-05-15 09:39:03 发布
最新推荐文章于 2024-05-15 09:39:03 发布
阅读量4k 收藏 8
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42585774/article/details/103006337
版权

当表单提交的enctype="multipart/form-data" 且同一个页面中有附件上传功能时,xss过滤器需要做特殊处理

package com.ffcs.common.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class XssFilter implements Filter {
  
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    //替换了request
   
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;

        String currentURL = req.getRequestURI();//截取当前文件名用于比较
        String head = req.getHeader("Content-Type");

        if(currentURL.contains(".jsp")||currentURL.contains(".do")||currentURL.equals("/")){
            System.out.println(head);
            if(head!=null){
                if(!head.contains("application/x-www-form-urlencoded")){//payload
                    chain.doFilter(new PayloadXssRequest(req),res);//核心,替换了request
                    System.out.println("payload");
                }else {//form data
                    System.out.println("form data");
                    chain.doFilter(new FormDataXssRequest(req),res);
                }
            }else {
                chain.doFilter(req,res);
            }
        }else {
            chain.doFilter(req,res);
        }

    }

    @Override
    public void destroy() {

    }
}

package com.ffcs.common.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class FormDataXssRequest extends HttpServletRequestWrapper {
   /**
    * Constructs a request object wrapping the given request.
    *
    * @param request
    * @throws IllegalArgumentException if the request is null
    */
   public FormDataXssRequest(HttpServletRequest request) {
       super(request);
   }
   //替换非法字符
   private String clean(String s){
       System.out.println("do xss");
       s=s.replaceAll("<","&lt;").replaceAll("script","").replaceAll("eval\\((.*)\\)","");
       return s;
   }

   @Override
   public String[] getParameterValues(String name) {
       String[] values = super.getParameterValues(name);
       if(values==null){
           return null;
       }
       int count = values.length;
       String[] encodedValues = new String[count];
       for(int i= 0;i<count;i++){
           encodedValues[i] = clean(values[i]);

       }
       return encodedValues;
   }

}

package com.ffcs.common.filter;

import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class PayloadXssRequest extends HttpServletRequestWrapper {

    private final String body;

    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request
     * @throws IllegalArgumentException if the request is null
     */
    public PayloadXssRequest(HttpServletRequest request) throws IOException {
        super(request);
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        try {
            InputStream inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                char[] charBuffer = new char[1024];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {
            throw ex;
        } finally {
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                } catch (IOException ex) {
                    throw ex;
                }
            }
        }
        body = stringBuilder.toString();
    }


    //替换非法字符
    private String clean(String s) {
        System.out.println("do xss :"+s);
        s = s.replaceAll("script", "").replaceAll("eval\\((.*)\\)", "");

        return s;
    }




    /**
     * Read Request Body payload  in Filter
     * 读取输入流,,文件post时采用这种方式
     *
     * @return
     * @throws IOException
     */
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }


    /**
     * Read Request Body payload  in Filter
     * 读取输入流,,文件post时采用这种方式
     *
     * @return
     * @throws IOException
     */
    public ServletInputStream getInputStream() throws IOException {
        System.out.println("getInputStream");
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(clean(body).getBytes());//在这里过滤非法字符
        ServletInputStream servletInputStream = new ServletInputStream() {
            public boolean isFinished() {
                return false;
            }

            public boolean isReady() {
                return false;
            }

            public void setReadListener(ReadListener readListener) {

            }

            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;
    }

}

 最后在web.xml中添加如下配置即可(以下为我项目中的配置)

    <filter>
		<filter-name>XssFilter</filter-name>
		<filter-class>com.ffcs.common.filter.XssFilter</filter-class>
		<init-param>
			<param-name>encoding</param-name>
			<param-value>UTF-8</param-value>
		</init-param>
	</filter>	
	<filter-mapping>
		<filter-name>XssFilter</filter-name>
		<url-pattern>*.do</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>XssFilter</filter-name>
		<url-pattern>*.jsp</url-pattern>
	</filter-mapping>

 

 

 

离不开丶离开
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的朋友可以参考下
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
4. 配置过滤规则:根据需求设置哪些URL需要应用XSS过滤,哪些不需要。可以使用`antMatchers`或`requestMatchers`来指定路径。 5. 测试验证:确保配置生效后,进行充分的测试,包括正常输入和恶意输入,检查是否能...
SpringMVC 增加了一个 xss 过滤器,导致 Controller 上传文件为空
qq_27319683的博客
05-07 1228
最近做的一个项目进行安全测试时测出了 SQL 注入问题,严重级别为高危,怎么办呢?我还是个雏,还没学会飞呢,挠挠头,硬上吧,然后把之前项目里的 xss 都弄过来修修改改,然后跑起来,震惊了,竟然全都过滤了,是的,全都过滤了,连上传文件都给我过滤了,咋办?再百度,结果全是千篇一律的抄袭,没一个能用的,还是发个帖子大家帮我瞅瞅,看看怎么解决一下,头发都挠掉一大把了,听说植发一根二十块,听着都吓人。 ...
【SRC实战】文件名回显导致反射型XSS,URL重定向
最新发布
qq_45196785的博客
05-15 326
2、修改文件名为meta标签,延迟1秒,自动重定向到第三方网站。1、反射型XSS获取用户cookie或者执行恶意JS操作。1、灯塔扫到敏感文件,发现1.txt会在页面回显文件名。“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”3、修改文件名为script标签,触发XSS漏洞。2、URL重定向到仿冒网站导致用户账户被盗。“ 文件名回显,能否触发URL重定向?“ 文件名回显,能否触发XSS?2、修改文件名为del标签。3、重定向到第三方网站。
XSS姿势——文件上传XSS
weixin_30399797的博客
04-20 672
XSS姿势——文件上传XSS 原文链接:http://brutelogic.com.br/blog/ 0x01 简单介绍 一个文件上传点是执行XSS应用程序的绝佳机会。很多网站都有用户权限上传个人资料图片的上传点,你有很多机会找到相关漏洞。如果碰巧是一个self XSS,你可以看看这篇文章。 0x02 实例分析 首先基本上我们都可以找到类似下面的一个攻击入口点,我觉得这个并...
第20天-WEB漏洞-文件上传之基础及过滤方式
MCTSOG的博客
03-04 776
思维导图 文件上传漏洞 1-什么是文件上传漏洞? 凡是存在文件上传的地方均有可能存在文件上传漏洞,关于上传文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件上传漏洞。 2-文件上传漏洞有哪些危害? 文件可以自定义,可以成为webshell,通过文件上传上传网站后门,直接获取网站权限,属于高危漏洞。上传漏洞与SQL注入或 XSS相比 , 其风险更大 。可以获取数据库信息,可以对服务器提权,获取内网权限 3-文件上传漏洞如何查找及判断? 1-黑盒查找 文件后台 进入网站后台不一
文件上传的多种利用方式
tomyyyyy
03-22 2294
文件上传的多种利用方式 文件上传漏洞除了可以通过绕过检测进行webshell的上传之外,还有多种其它的漏洞可以进行测试。 XSS漏洞 文件名造成的XSS上传任何文件时,文件名肯定是会反显示在网页上,可以使用 XSS Payload做文件名尝试将其上传到 Web 应用程序。这样就可能会触发XSS。 抓包修改文件名为如下所示的名字 <img src=x onerror=alert(1)&g...
SpringBoot+Shiro图片上传
李长渊的博客
03-04 461
在Shiro框架下图片上传,并使用Shiro自定义工具类更新用户信息。
jsp字符过滤器
11-25
字符过滤器主要用于防止恶意用户通过提交特殊字符或者执行SQL注入、跨站脚本攻击(XSS)等行为,保护服务器免受攻击。 一、JSP过滤器基础 JSP过滤器是基于Servlet规范的Filter接口实现的,它可以拦截请求,对请求和...
过滤器 乱码,非法字符,权限
10-18
过滤器可以对上传文件进行检查,通过扫描文件类型、大小等方式预防病毒。例如,限制上传文件的类型为图片或文档,禁止上传可执行文件。同时,也可以使用文件扫描库来检测文件是否包含已知的病毒特征。 5. **HTML...
java开发常见漏洞及处理说明
06-30
本文主要讨论了三个常见的安全漏洞:SQL注入、XSS跨站脚本攻击以及文件上传漏洞,以及如何通过过滤和拦截策略来处理这些问题,以确保Java Web程序的安全运行。 首先,SQL注入是一种常见的攻击手段,攻击者通过输入...
servlet中得到上传文件文件名
TerryLMay
12-05 1万+
String root = getServletContext().getRealPath("/"); request.setCharacterEncoding("utf-8"); MultipartRequest mr = new MultipartRequest(request, root); // 先上传文件,成功了再更新数据库 // 题干,源程序存放路径 String
FilenameFilter(文件名过滤器)
weixin_33756418的博客
03-11 604
java.io.FilenameFilter是文件名过滤器,用来过滤不符合规格的文件名,并返回合格的文件; 一般地: (1)String[] fs = f.list(); (2)File[] fs = f.listFiles();//返回的是某个目录下所有文件和和目录的绝对路径 注意:这两个方法返回f下的所有文件或目录; FilenameFilter用来把符合要求的文件或目录返回; 因...
XSS,文件上传,文件包含】
一纸荒芜的博客
07-31 2604
网络安全面试题
spring利用filter进行xss过滤(包含post请求)以及请求入参日志输出
六年级的叔叔
04-20 4959
背景:过滤xss攻击,同时将过滤后的日志输出到指定文件。(指定文件输出请看上篇博文) 前景:利用filter进行xss攻击过滤,需要应对不同请求做不同的过滤处理,若是post请求的json格式数据,需要重写getinputstream方法(因为流读取一次后,下层controller无法再次进行读取。原理可自行百度) 因此需要重写两个wrapper(继承HttpServletRequestWra...
filter 过滤上传文件名
不懂夜的黑
04-28 778
[code="java"]/** 过滤器方法 **/ public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2) throws IOException, ServletException { HttpServletRequest req = (Http...
SpringBoot 使用 MultipartFile 上传文件及可能遇到的错误排查
热门推荐
MR_L_0927的博客
07-13 1万+
SpringBoot2.1.3,Maven,JDK1.8 首先贴上基本代码,然后一一排查可能遇到的问题. @RestController @RequestMapping(value = "load") public class FileLoad { /** * 接收到的文件根据自己的业务需求进行处理. * * @param file 将要上传文件 * @return java.lang.String 上传后的文件名称 */ @Pos
web过滤器获取请求的参数(content-type:multipart/form-data)
weixin_30297281的博客
12-21 585
1.前言:   1.1 在使用springMVC中,需要在过滤器获取请求中的参数token,根据token判断请求是否合法;   1.2通过requst.getParameter(key)方法获得参数值;     这种方法有缺陷:它只能获取 POST 提交方式中的Content-Type: application/x-www-form-urlencoded;    Ht...
文件上传中防止Xss注入
fxtxz2的专栏
12-24 4180
上传文件流防XSS
java过滤器处理xss
11-21
以下是Java过滤器处理XSS攻击的示例代码: ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;import javax.servlet....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值