【Java代码审计】文件包含触发XSS漏洞

已于 2024-02-20 15:28:34 修改
阅读量158 收藏
点赞数
分类专栏: 代码审计 文章标签: java web安全 网络安全 安全
于 2023-09-28 00:04:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48201589/article/details/133365703
版权

审计XSS的思路大多数都是先锁定评论区,有些情况下会被页面进行过滤或者转义,但仍可以通过文件包含达到触发XSS的目的。
输入XSS语句,并未直接触发弹框。


抓取请求包,访问的接口为”POST /comment_submit”


在代码中全局搜索字符串”/comment_submit”


该接口的实现代码是控制器类CommentController中的方法submit。而submit方法未对评论内容text进行参数校验以及过滤,就将Comment对象属性text的值赋值为变量text的值。第205行的CommentService.save接口的实现类对象的save方法调用Comment对象。


对接口CommentService的实现类CommentServiceImpl的save方法进行审计


该方法调用了“CommentDao接口的实现类的对象”的save方法,发现直接将Comment对象存进了数据库,为XSS漏洞的触发埋下了隐患。


可以看到数据库中确实存入了XSS,且没有被转义或过滤。


但事实也如开头介绍,前端并未进行弹框。


查看“pom.xml”,可知采用了模板引擎“Freemarker”


在jspxcms官网的相关文档中查看到Freemarker的转义相关的说明文档。


在D:\Code\JavaCode\jspxcms-9.0.0-release-src\src\main\webapp\template\1\default\info_news.html中发现了转义的写法。


通过分析可知info页面做了转义输出,阻止了XSS漏洞的触发。

但在D:\Code\JavaCode\jspxcms-9.0.0-release-src\src\main\webapp\template\1\default\sys_member_space_comment.html未发现转义的防护。


在源码中搜索sys_member_space_comment.html,发现sys_member_space.html包含了sys_member_space_comment.html。


在sys_member_space.html中找到关键代码,dang HTTP请求参数type的值等于comment时,就会动态引用sys_member_comment.html文件


继续寻找sys_member_space.html,发现其控制器类常量值SPACE_TEMPLATE就是sys_member_space.html


接着在源码中搜索常量SPACE_TEMPLATE


可知接口“GET /space/{id}”使用了模板,且参数id可控


输入http://localhost:8080/space/1?type=comment 成功触发XSS漏洞。

Hello_Brian
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java代码审计XSS
大河之犬的博客
12-16 8384
XSS 漏洞是指攻击者在网页嵌入客户端脚本(通常是 JavaScript 编写的恶意代码),进而执行其植入代码的漏洞。若 Web 应用未对用户可直接或间接控制的“输入”与“输出”参数进行关键字过滤或转义处理,则很可能存在跨站脚本漏洞
Java代码审计XSS漏洞详解
悦分享
01-23 84
跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSSXSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。
通过代码审计找出网站XSS漏洞实战
02-24
1.找出关键位置2.正向审计3.反向审计打蛇打七寸,说明在关键位置做事效率会更高,代码审计找出漏洞也是同理,因此笔者需要找出XSS关键的位置;对于目前的大多数Web应用来说,MVC模式是非常主流的一种形式,因此笔者这里将找到对应的控制器和模板,在这一节当主要讲解找出位置的思路。找出控制器的方式通常是通过主入口文件与URL地址两块去分析,现在笔者打开首页,发现URL地址为:当点击板块后,URL地址变成了如下地址:从URL地址可以看到不管首页还是板块页面,都经过URL地址home/index.php,因此笔者接下来便可以通过打开home/index.php文件来查看控制器所存放的位置,打开后代
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的朋友可以参考下
XSS,文件上传,文件包含
一纸荒芜的博客
07-31 2575
网络安全面试题
文件上传攻击骚操作
qq_50854662的博客
02-21 6398
文件上传攻击骚操作
JAVA代码审计-XSS漏洞分析
shelter1234567的博客
10-23 947
XSS漏洞,可不仅仅是弹窗这么简单,本篇先讲一讲触发漏洞的形式,换一期讲一讲XSS的危害究竟有多大!
Java代码审计(6)XSS审计思路
划水的小白白
01-25 861
0、前言 0.1 XSS的审计思路 0.2 补充一些知识 1、反射型XSS审计 2、存储型XSS审计 2.1、搭建项目: 2.2、审计 3、存在过滤的XSS项目 4、XSS的修复 4.1、XSS的修复的主要分为两点:
Java代码审计XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 4736
Java代码审计XSS漏洞产生原理及其修复
基于正反向分析的SQL,XSS漏洞检测系统(php代码审计web版)
07-19
基于正反向分析的SQL,XSS漏洞检测系统(php代码审计web版) 用户角色 管理员 admin 123456 模块介绍 登陆模块 sql文件静态分析模块 phparser树形处理,json返回处理结果 sql显示image模块 graphviz生成pdf文件...
Java 代码审计常用漏洞总结
LANXIAMAO的博客
06-18 949
但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程执行构造的任意代码。download 函数把 filePath 处的文件写到 http 响应,在整个流程并没有对文件名的合法性进行检查,存在任意文件下载漏洞,如通过把 affixalName 的值设置。主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯:跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。
JAVA代码审计XSS及Filter动态代理过滤
dzqxwzoe的博客
08-10 1054
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤。
java学习和项目总结
2301_79390585的博客
05-24 698
JRE:JRE是Java 运行时环境,主要包括了两个运行需要的组件:JVM 和 Java 核心类库,如果不进行java开发只想运行就可以只下载JRE。而Java语言,它的代码会先通过javac编译成字节码,再通过jvm将字节码转换成机器码(0和1)执行,即解释运行和编译运行配合使用,所以是混合型。在程序运行之前,通过编译器将源程序编译成机器码可运行的二进制,以后执行这个程序时,就不用再进行编译了。JVM:JVM是java进行编译的虚拟机,是Java 能够跨平台运行的核心。特点:执行速度慢、效率低;
Java高级面试精粹:问题与解答集锦(一)
Layla_c的博客
05-23 1441
答案多态是Java的一个核心概念,它允许不同类的对象对同一消息做出响应,但具体的行为会根据对象的实际类型而有所不同。重载(Overloading):当多个方法具有相同的名称,但参数列表不同时,这称为方法重载。编译器根据方法调用时传递的参数类型和数量来确定调用哪个方法。重写(Overriding):当子类有一个与父类同名、同参数列表的方法时,子类可以提供特定的实现来覆盖父类的方法。运行时,Java虚拟机(JVM)会根据对象的实际类型调用相应的方法,这个过程称为动态绑定或晚期绑定。答案。
JVM学习-执行引擎
丢爸
05-21 1147
当然是否需要启动JIT编译器将字节码直接编译为对应平台的本地机器指令,则需要根据代码被调用。大部分的程序代码转换为物理机的目标代码或虚拟机能执行的指令集之前,都需要经过下图各个步骤。,将其直接编译为对应平台的本地机器指令,以此提升Java程序的执行性能。”,JIT编译器在运行时会针对那些频繁被调用的热点代码做出。Java代码编译是由Java源码编译器来完成,流程图如下。而定,关于那些需要被编译为本地代码的字节码,称为“Java字节码的执行是由JVM执行引擎来完成。
数据访问与Spring Data JPA
无远弗届
05-25 528
假设我们要处理一个用户表(users),可以创建一个User@Entity // 标识这是一个实体类 public class User {@Id // 标识这是主键字段 @GeneratedValue(strategy = GenerationType . AUTO) // 主键生成策略 private Long id;// Getter 和 Setter ... }@Entity // 标识这是一个实体类 public class User {
operator <=> (spaceship operator)
最新发布
janeqi1987的专栏
05-28 588
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
请用java代码实现SQL注入和XSS漏洞的防护?
05-27
SQL注入漏洞的防护示例代码: 1. 使用预编译语句: ```java String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, username); pstmt.setString(2, password); ResultSet rs = pstmt.executeQuery(); ``` 2. 对用户输入的数据进行过滤: ```java public static boolean isValidInput(String input) { String regex = "^[a-zA-Z0-9]+$"; Pattern pattern = Pattern.compile(regex); Matcher matcher = pattern.matcher(input); return matcher.matches(); } if (isValidInput(username) && isValidInput(password)) { String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'"; Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery(sql); } ``` 3. 使用ORM框架: ```java @Entity @Table(name = "users") public class User { @Id private Long id; private String username; private String password; // getter and setter } CriteriaBuilder builder = entityManager.getCriteriaBuilder(); CriteriaQuery<User> query = builder.createQuery(User.class); Root<User> root = query.from(User.class); query.where(builder.equal(root.get("username"), username)) .where(builder.equal(root.get("password"), password)); List<User> users = entityManager.createQuery(query).getResultList(); ``` XSS漏洞的防护示例代码: 1. 对用户输入的数据进行转义: ```java public static String escapeHtml(String input) { return StringEscapeUtils.escapeHtml4(input); } String username = request.getParameter("username"); String escapedUsername = escapeHtml(username); out.println("Hello, " + escapedUsername + "!"); ``` 2. 使用CSP: ```java response.setHeader("Content-Security-Policy", "default-src 'self'"); ``` 3. 设置HttpOnly标志: ```java Cookie cookie = new Cookie("username", "admin"); cookie.setHttpOnly(true); response.addCookie(cookie); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello_Brian

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值