XSS漏洞修补及预防--使用过滤器

最新推荐文章于 2024-08-18 19:04:11 发布
最新推荐文章于 2024-08-18 19:04:11 发布
阅读量1.1w 收藏 6
点赞数
分类专栏: 漏洞 文章标签: 漏洞 网络钓鱼 安全漏洞

什么是XSS攻击 :
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

如下代码不涉及对原有开发人员的代码,进行修改。在最外层增加过滤器,进行对所有参数进行过滤,涉及框架SpringMVC
1.创建过滤器类,使其实现Filter。

package com.data.interceptor;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * 
 * @Title: XSSFilter.java
 * @Package: com.data.interceptor
 * @author you.xu
 * @date 2016年3月4日上午11:21:47
 * @version 1.0
 */
public class XSSFilter implements Filter {

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    public void doFilter(ServletRequest req, ServletResponse res,
            FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        request = new XSSServletRequest(request);
        filterChain.doFilter(request, res);
    }

    public void destroy() {

    }

}

2.创建XSSServletRequest.java类,将request请求进行过滤。

package com.data.interceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import com.data.utils.XssFilterUtil;

/**
 * 
 * @Title: XSSServletRequest.java
 * @Package: com.data.interceptor
 * @author you.xu
 * @date 2016年3月4日上午11:25:02
 * @version 1.0
 */
public class XSSServletRequest extends HttpServletRequestWrapper {

    public XSSServletRequest(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String string = super.getParameter(name);
        // 返回值之前 先进行过滤
        return XssFilterUtil.stripXss(string);
    }

    @Override
    public String[] getParameterValues(String name) {
        // 返回值之前 先进行过滤
        String[] values = super
                .getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                values[i] = XssFilterUtil.stripXss(values[i]);
            }
        }
        return values;
    }
}

3.创建过滤器工具类XssFilterUtil.java,

package com.data.utils;

import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import org.apache.commons.lang.StringUtils;

/**
 * 
 * @Title: XssFilterUtil.java
 * @author you.xu
 * @date 2016年3月4日上午9:52:02
 * @version 1.0
 */

public class XssFilterUtil {

    private static List<Pattern> patterns = null;

    private static List<Object[]> getXssPatternList() {
        List<Object[]> ret = new ArrayList<Object[]>();

        ret.add(new Object[] { "<(no)?script[^>]*>.*?</(no)?script>",
                Pattern.CASE_INSENSITIVE });
        ret.add(new Object[] { "eval\\((.*?)\\)",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] { "expression\\((.*?)\\)",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] { "(javascript:|vbscript:|view-source:)*",
                Pattern.CASE_INSENSITIVE });
        ret.add(new Object[] { "<(\"[^\"]*\"|\'[^\']*\'|[^\'\">])*>",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] {
                "(window\\.location|window\\.|\\.location|document\\.cookie|document\\.|alert\\(.*?\\)|window\\.open\\()*",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] {
                "<+\\s*\\w*\\s*(oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|onerror=|onerroupdate|onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onload|onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload)+\\s*=+",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        return ret;
    }

    private static List<Pattern> getPatterns() {

        if (patterns == null) {

            List<Pattern> list = new ArrayList<Pattern>();

            String regex = null;
            Integer flag = null;
            int arrLength = 0;

            for (Object[] arr : getXssPatternList()) {
                arrLength = arr.length;
                for (int i = 0; i < arrLength; i++) {
                    regex = (String) arr[0];
                    flag = (Integer) arr[1];
                    list.add(Pattern.compile(regex, flag));
                }
            }

            patterns = list;
        }

        return patterns;
    }

    public static String stripXss(String value) {

        if (null == value) {
            return value;
        }
        if (StringUtils.isNotBlank(value)) {

            Matcher matcher = null;

            for (Pattern pattern : getPatterns()) {
                matcher = pattern.matcher(value);
                // 匹配
                if (matcher.find()) {
                    // 删除相关字符串
                    value = matcher.replaceAll("");
                }
            }
            value = StringFilter.StringFilter(value);
        }
        // 预防SQL盲注
        String[] pattern = { "%", "select", "insert", "delete", "from",
                "count\\(", "drop table", "update", "truncate", "asc\\(",
                "mid\\(", "char\\(", "xp_cmdshell", "exec", "master",
                "netlocalgroup administrators", "net user", "or", "and" };
        for (int i = 0; i < pattern.length; i++) {
            value = value.replace(pattern[i].toString(), "");
        }
        return value;
    }

    public static void main(String[] args) {

        String value = null;
        value = XssFilterUtil
                .stripXss("<br>select  ***//||&;/*-+ <>$###@%$#@$%^#$^%$&^(&*)*\\''count or %% ..... ,,,, ");
        System.out.println("type-1: '" + value + "'");

        value = XssFilterUtil
                .stripXss("<script src='' onerror='alert(document.cookie)'></script>");
        System.out.println("type-2: '" + value + "'");

        value = XssFilterUtil.stripXss("</script>");
        System.out.println("type-3: '" + value + "'");

        value = XssFilterUtil.stripXss(" eval(abc);");
        System.out.println("type-4: '" + value + "'");

        value = XssFilterUtil.stripXss(" expression(abc);");
        System.out.println("type-5: '" + value + "'");

        value = XssFilterUtil
                .stripXss("<img src='' onerror='alert(document.cookie);'></img>");
        System.out.println("type-6: '" + value + "'");

        value = XssFilterUtil
                .stripXss("<img src='' onerror='alert(document.cookie);'/>");
        System.out.println("type-7: '" + value + "'");

        value = XssFilterUtil
                .stripXss("<img src='' onerror='alert(document.cookie);'>");
        System.out.println("type-8: '" + value + "'");

        value = XssFilterUtil
                .stripXss("<script language=text/javascript>alert(document.cookie);");
        System.out.println("type-9: '" + value + "'");

        value = XssFilterUtil.stripXss("<script>window.location='url'");
        System.out.println("type-10: '" + value + "'");

        value = XssFilterUtil.stripXss(" onload='alert(\"abc\");");
        System.out.println("type-11: '" + value + "'");

        value = XssFilterUtil.stripXss("<img src=x<!--'<\"-->>");
        System.out.println("type-12: '" + value + "'");

        value = XssFilterUtil.stripXss("<=img onstop=");
        System.out.println("type-13: '" + value + "'");
    }
}

4.配置web.xml

<filter>
    <filter-name>XSSFilter</filter-name>
    <filter-class>com.data.interceptor.XSSFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XSSFilter</filter-name>
    <url-pattern>*.do</url-pattern>
</filter-mapping>

本文对其增加了预防SQL盲注漏洞,将字符串中涉及到的与sql相关的关键字进行了过滤。

我是一个小菜鸟,大家如有更简单高效的代码,欢迎在评论中指出,一起分享。谢谢

参考文档:http://blog.csdn.net/catoop/article/details/50338259

Hi_YouXu
关注
专栏目录
JSP使用过滤器防止Xss漏洞
01-08
针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。 那就是利用Servlet的过滤器机制,编写定制的Xss
xss过滤器无法处理ajax请求_原创 | 记一次失效的XSS过滤器修复
weixin_39677870的博客
12-08 735
点击上方蓝字关注我们奇怪的XSS过滤器一般在实际Web开发中,我们常常需要过滤/编码页面传递给后台的特殊字符,防止xss跨站脚本攻击。使用过滤器Filter可以很好的完成这个功能。前段时间某项目的研发使用过滤器进行XSS过滤后,进行复测,发现一个奇怪的现象,原本网站全局的xss,变成了只有部分接口存在xss。一开始以为过滤器的匹配接口路径存在问题,查看代码发现开发是通过写HttpServ...
复现XSS漏洞及分析
qq_61739597的博客
09-01 3051
跨站脚本攻击XSS(Cross Site Scripting),为区别层叠样式表(Cascading Style Sheets, CSS),所以改写为XSS
XSS-过滤特殊符号的正则绕过
ningwangh的博客
08-18 1218
所以将alert转化成30进制。
XSS 攻击的检测和修复方法
Java徐师兄的博客
07-13 3041
XSS 攻击是一种常见和危险的 Web 攻击,开发者需要对输入数据进行过滤和转义,使用安全的编程语言和框架以及安全的数据库操作,采用 CSP 等措施来防止 XSS 攻击。同时,用户也需要注意不要轻易点击不明来源的链接,避免被诱导访问恶意网站,从而保护自己的信息安全。// 去除输入数据中的 HTML 和 PHP 标签 $data = strip_tags($data);
XSS(跨站脚本)介绍及修复
OnlyRu丶小心心
08-04 1363
XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。 XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、用户cookie获取,甚至可以结合浏览器自身的漏洞对用户主机进行远程控制等。 形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。 因此在XSS漏洞的防范上,一般会采用“对输入进行过滤”和“输出进行转义”的
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 383
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
1. **XSS过滤器**:XSSProject提供了强大的XSS过滤机制,能够对用户输入的数据进行检查和清理,移除潜在的恶意脚本。这些过滤规则覆盖了多种常见的XSS攻击手法,如JavaScript注入、CSS注入、HTML实体编码绕过等。 2...
XSS漏洞挖掘及利用教程
07-31
2. **危害与修复**:此类基础XSS漏洞较容易被浏览器的XSS过滤器拦截,且在大型网站中较为罕见,但在小型网站中较为常见。防御措施主要是对输出进行预处理,过滤或转义`和`>`等特殊字符。 **三、输出在标签之间的XSS...
Python-JShell用XSS获取一个JavaScriptshell
08-10
攻击者可以编写一段JavaScript代码,利用XSS漏洞注入到目标网页,这段代码会发送请求到Python服务器,携带恶意的JavaScript代码。Python服务器接收到请求后,使用JShell来执行JavaScript,然后将结果回传给攻击者。 ...
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6636
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
XSS漏洞解决方案之一:过滤器
热门推荐
梦想起飞的地方.........
03-12 1万+
XSS漏洞解决方案之一:过滤器 一:web.xml文件  漏洞 --> xssFilter com.baidu.rigel.sandbox.core.filter.XSSFilter xssFilter /* xssFilter com.baidu
【转】XSS的两种攻击方式及五种防御方式
tpriwwq的专栏
11-05 4250
XSS攻击介绍及防御方法
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 4198
Springboot配置XSS过滤器XssFilter
XssFilter防止脚本注入,防止xss攻击
javaloveiphone的专栏
12-10 9428
主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。 解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml(“fff”)方法。 其中,输入时的过滤是用一个filter来实现, 实现过程: 在we
XSS 安全漏洞介绍及修复方案
墨鸦的博客
06-25 7635
XSS 安全漏洞介绍及修复方案
xss漏洞,添加xssFilter后,乱码,解决方法
zhangnana200的博客
05-16 3037
/*  *  * 更改所生成文件模板为  * 窗口 > 首选项 > Java > 代码生成 > 代码和注释  */ package com.bmcc.adc.filter; import java.io.IOException; import java.util.Enumeration; import java.util.HashMap; import java.util
xss-labs靶场学习笔记
qq_46117757的博客
07-22 130
level1 直接在url写入js语句 level2 keyword后面或文本框输入 ">闭合value属性 123"><script>alert(1);</script> level3 查看源代码 value属性使用单引号 在输入框输入以下代码 ,提交后鼠标移到输入框完成。 123' onmouseenter='alert(1); <!--即整个标签为--> <input name=keyword ...
javaxss漏洞修复代码HTML实体编码是一种简单的方法,可以将特殊字符转换为它们的HTML实体对应物。这种方法可以防止恶意脚本在客户端执行。
最新发布
09-19
HTML实体编码(也称为字符实体转义)是一种预防跨站脚本攻击(XSS)的技术。通过将敏感字符如 `<`, `>`, `&`, `"`, `'` 等替换为对应的HTML实体(例如 `<`, `>`, `&`, `"`, `'`),当网页内容包含用户输入并显示到浏览器时,这些字符会被安全地显示,而不是作为HTML标签或JavaScript指令被执行。在Java中,可以使用`HttpUtility#escapeHtml4()` 或 `HttpUtility#escapeJs()` 方法来进行这样的编码。 修复javax.ss漏洞的具体代码示例可能会因漏洞类型和上下文而异,但一般会在处理用户输入的地方添加实体编码。例如: ```java String userInput = ... // 获取用户输入 String safeInput = org.apache.tomcat.util.http.HttpUtil.htmlEscape(userInput); // 使用Tomcat提供的工具进行编码 // 将safeInput插入到HTML中,避免XSS风险 JavaxSsOutput out = ...; out.print("<p>" + safeInput + "</p>"); ```
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值