XSS脚本攻击防御(Antisamy)(下)

最新推荐文章于 2022-01-16 15:04:15 发布
最新推荐文章于 2022-01-16 15:04:15 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 菜鸟的网络安全日记 文章标签: xss脚本攻击 antisamy分析 流程分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vi_error/article/details/54376517
版权

上篇写了怎么使用antisamy防御xss脚本攻击,下篇简单分析一下antisamy过滤的原理。

基础步骤的分析

从上篇的最基础的实现逻辑分析具体的实现,下面这段最基础实现非常好理解,看注释就能知道实现步骤。

//定义过滤的策略
Policy policy = Policy.getInstance("file"); //此处的file指使用的策略文件,如antisamy-ebay.xml
//对html输入进行过滤
Antisamy antisamy = new Antisamy();
CleanResult cr = antisamy.scan(innerHtml,policy);
//输出过滤后安全的html或异常信息
String cleanHtml = cr.getCleanHTML();
String errMsg = cr.getErrorMessages();

项目源码

重点是解析过程。在网上查阅了一些资料,配合阅读了项目的源码。确认策略是将html解析成dom树,然后扫描,源码中的代码如下

扫描流程

  public CleanResults scan(String html)
    throws ScanException
  {
    if (html == null) {
      throw new ScanException(new NullPointerException("Null input"));
    }

    this.errorMessages.clear();
    int maxInputSize = this.policy.getMaxInputSize();

    if (maxInputSize < html.length()) {
      addError("error.size.toolarge", new Object[] { Integer.valueOf(html.length()), Integer.valueOf(maxInputSize) });
      throw new ScanException((String)this.errorMessages.get(0));
    }

    this.isNofollowAnchors = this.policy.isNofollowAnchors();
    this.isValidateParamAsEmbed = this.policy.isValidateParamAsEmbed();

    long startOfScan = System.currentTimeMillis();
    try
    {
      CachedItem cachedItem = (CachedItem)cachedItems.poll();
      if (cachedItem == null) {
        cachedItem = new CachedItem();
      }

      html = stripNonValidXMLCharacters(html, cachedItem.invalidXmlCharMatcher);

      DOMFragmentParser parser = cachedItem.getDomFragmentParser();
      try
      {
        parser.parse(new InputSource(new StringReader(html)), this.dom);
      } catch (Exception e) {
        throw new ScanException(e);
      }

      processChildren(this.dom, 0);

      String trimmedHtml = html;

      StringWriter out = new StringWriter();

      OutputFormat format = getOutputFormat();

      HTMLSerializer serializer = getHTMLSerializer(out, format);
      serializer.serialize(this.dom);

      String trimmed = trim(trimmedHtml, out.getBuffer().toString());

      Callable cleanHtml = new Callable(trimmed) {
        public String call() throws Exception {
          return this.val$trimmed;
        }
      };
      this.results = new CleanResults(startOfScan, cleanHtml, this.dom, this.errorMessages);

      cachedItems.add(cachedItem);
      return this.results;
    }
    catch (SAXException e)
    {
      throw new ScanException(e);
    }
    catch (IOException e) {
      throw new ScanException(e);
    }
  }

这段代码逻辑上比较清楚,简单的梳理一下:

  1. 确定输入的html不为空,为空的话抛出错误
  2. 确定输入的html长度不超过最大值,超出的话抛出错误
  3. 将html中的低价打印字符过滤掉(防止解析失败)
  4. 将html解析成dom树
  5. 处理dom树返回干净的html

html解析成dom的流程

代码中间解析成dom树的代码,查阅了相关资料,思路是这样的:

4 遍历dom树进行以下处理:

4.1 判断深度是否达到250,是返回异常

4.2 判断节点是否为comment,特殊处理后返回。

4.2.1 判断是否显示comment,否则删除comment节点

4.2.2 如果需要显示节点,则过滤节点的数据
4.3 判断节点是否为空元素,根据设置判断是否需要删除节点。

4.4 判断节点是否为CDATA,过滤节点数据

4.4.1 输出异常,同时创建text节点代替CDATA节点。
4.5 判断是否为ProcessingInstruction,是删除该节点

4.6 获取当前节点的tagRule,根据tagRule规则进行不同处理

4.6.1 判断是否使用默认的tagRule

4.6.2 要么encode节点(节点内容进行编码)

4.6.3 要么filter节点(删除节点,保留节点子节点)

4.6.4 要么validate节点

 对style节点进行特殊处理

 对其他节点的属性一个一个验证,如果发现校验失败,根据配置,进行以下处理:

4.6.4.1 removeTag :删除当前元素

4.6.4.2 filterTag : 过滤当前元素

4.6.4.3 encodeTag : 编码元素

4.6.4.4 remoteAttr: 默认配置,删除属性

4.6.5 要么truncate节点(删除节点属性,以及删除子节点中非text类型的节点)

4.6.6 要么删除节点(包括子节点都进行删除)

如果仅仅为了使用项目过滤文本,可以不用过分关注解析细节,了解其流程即可。

Vi_error
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
XSS攻击防御
qq_41030039的博客
09-29 3817
XSS简介: XSS(Cross Site Script),跨站脚本攻击,为了和CSS区分,在安全领域称为XSS。 通常指黑客通过HTML注入篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。 XSS攻击类型: 1、反射型XSS 反射型 XSS 只是将用户输入的数据展现到浏览器上(从哪里来到哪里去),即需要一个发起人(用户)来触发黑客布下的一个陷阱(例如一个链接,一个按钮...
XSS脚本攻击防御Antisamy)(上)
Vi_error.nextval
01-11 1683
XSS脚本攻击防御Antisamy)(上)由于公司的产品准备全面互联网化,所以就对安全问题进行了一系列的排查,排查过程中发现了xss脚本攻击的问题,开始着手了解和修改代码XSS脚本攻击防御Antisamyxss攻击的简单解释 通过开源项目Antisamy防御Xss攻击 引入Antisamy包 jar包中的xml文件 Antisamy项目使用xss攻击的简单解释 跨站脚本(Cross-sit
Antisamy(XSS防御)的学习
qq_461491877的博客
01-16 3319
AntisamyXSS防御)的学习 此教程基于黑马程序员Java品达通用权限项目,哔哩哔哩链接:https://www.bilibili.com/video/BV1tw411f79E?p=55 1.XSS介绍 XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS
XSS攻击AntiSamy防御
有一只柴犬的专栏
10-20 929
什么是xss xss:跨站脚本攻击(Cross Site Scripting),因为跟样式css混淆,所以习惯缩写为xss。通过一些方法注入恶意指令代码到网页,使其加载并执行攻击者恶意的网页程序。 xss类型 1、反射型xss:通过get或者post等方式,向服务端输入数据。如果服务端不进行处理(过滤,验证,编码等),直接将信息呈现出来,可能会造成反射型xss。 2、存储型xss:服务端对注入的恶意脚本没有经过验证存入数据库,每次调用数据库都会将其渲染在浏览器上。则可能为存储型xssAntiSamy防御
XSS跨域站点攻击antisamy解决策略文件
10-17
包含常用策略xml文件:antisamy-slashdot-1.4.4.xml、antisamy-ebay-1.4.4.xml、antisamy-anythinggoes-1.4.4.xml、antisamy-tinymce-1.4.4.xml
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
XSS跨站脚本攻击
01-27
跨站脚本(crosssitescript)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据...
anti samy 策略文件
01-24
anti samy 的策略文件,齐全。antisamy.xml,antisamy-anythinggoes.xml,antisamy-ebay.xml,antisamy-myspace.xml,antisamy-slashdot.xml,antisamy-tinymce.xml
AntiSamy Xss攻击过滤封装WebService源码
11-08
将开源的 AntiSamy Xss 防跨站脚本攻击工具封装为 Java WebService,可以运行在 Tomcat 下。 压缩包里是源码及所有依赖的dll,开发环境是 eclipse jdk 6.0。 如使用 asp.net 开发,可简单部署一个 TOMCAT 服务器,使用WebService调用接口做XSS(跨站脚本攻击)过滤。
常用antisamy策略文件
12-20
常用antisamy策略文件:antisamy-slashdot.xml 、antisamy-ebay.xml、antisamy-myspace.xml、antisamy-anythinggoes.xml、antisamy-tinymce.xml等。 详细介绍参见此文:http://blog.csdn.net/softwave/article/details/53761796
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
介绍了XSS跨域攻击在web项目中的防范,基于antisamy技术。
XSS 防御AntiSamy
chongdanshi5995的博客
06-19 390
1.前言 传统xss 防御的方式,可以是在前端或服务端进行手动特殊字符过滤,用户根据需要添加需要被处理的字符。这种方式的优点是方便简单,但缺点是,开发者很难穷举需要被过滤的特殊字符。所以有了 AntiSamy。 2.AntiSamy 简介 AntiSamy 是 OWASP 的一个开...
antisamy的策略文件使用详解
RayChiu757374816的博客
01-10 7047
1 前言 Antisamy是OWASP(open web application security project)的一个开源项目,其能够对用户输入的html/css/javascript 脚本进行过滤,确保输入满足规范,无法提交恶意脚本Antisamy被应用在web服务中对存储型和反射性的xss防御,尤其是在存在富文本输入的场景,antisamy能够很好的解决用户输入体验和安全要求之间的
Filter拦截所有资源,登入页面img和js均失效
iLzn_的博客
03-25 283
今天写了个拦截,开始我没清空缓存的时候登入页面引入的 js 与 img 均正常使用,当我清空缓存 ,js 与 img显示都不正常 ,浏览器控制台显示图片状态码 200,经过一番搜索发现原来是被filter拦截了. 原代码 web.xml <filter-mapping> <filter-name>CharacterEncodingFilter</filter-name> <url-pattern>/*</url-pattern>
XSS跨站攻击解决办法--AntiSamy的配置及使用
flying_pig1989的博客
01-24 4133
XSS跨站攻击         跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS分为:存储型和反射型
XSS防御-使用AntiSamy
张张张小胜的博客
07-11 1万+
AntiSamy是OWASP的一个开源项目,被广泛应用于Web服务对存储型和反射型XSS防御
基于Antisamy项目实现防XSS攻击
热门推荐
gavinloo的专栏
11-06 1万+
最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等功能,不敢贸然的使用Filter对关键字进行过滤。 为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSa
AntiSamy防御XSS攻击
最新发布
07-22
AntiSamy是一个用于防御跨站脚本攻击XSS)的Java库。它的主要目标是防止恶意用户通过在网站上插入恶意脚本攻击用户。AntiSamy通过检查和过滤传入的HTML和CSS代码,确保只有安全的代码被显示和执行。 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值