Jeecms 防xss处理原理

最新推荐文章于 2019-09-21 19:40:22 发布
最新推荐文章于 2019-09-21 19:40:22 发布
阅读量145 收藏
点赞数
文章标签: web.xml
原文链接:http://www.cnblogs.com/SEC-fsq/p/5260971.html
版权

Web.xml配置过滤器,并指的要过滤和替换的字符:

 

过滤器的filter方法,对传入的HttpServletRequest对象进行了修改

 

具体过滤在XssHttpServletRequestWrapper类中实现,看看XssHttpServletRequestWrapper类都做了什么:

在构造方法中获取要过滤和替换的字符并分割成字符串数组,分隔符模式是@符号:

 

对原生的getQueryStringgetParametergetParameterValues、getHeader方法全部进行了重载,并使用xssEncode对返回值进行处理,

 

 

 接下来看xssEncode做了什么,也是最关键的地方:

 

可以看出他只是对字符进行了替换:把半角字符'@"@\@#@:@%@>替换为全角字符‘@“@\@#@:@%@>(这里@符为分隔符)。

转载于:https://www.cnblogs.com/SEC-fsq/p/5260971.html

weixin_30507481
关注
jeecms v9.3 has a stroed xss vulnerability
libieme的博客
10-31 3680
jeecms v9.3 has a stroed xss vulnerability An issue was discovered in jeecms v9.3 There is a stored XSS attacks vulnerability which allows remote attackers to inject arbitrary web script or HTML. poc ...
JEECMS——过滤器和拦截器
枣面包的博客
11-29 2975
JEECMS的源码下载及安转运行,JEECMS项目包结构,JEECMS项目入口web.xml配置,JEECMS过滤器和拦截器,JEECMS安全框架Shiro,JEECMS模板引擎Freemarker,JEECMS持久层框架Hibernate,JEECMS搜索引擎Lucene, JEECMS定时任务Quartz,JEECMS缓存Ehcache,JEECMS日志系统Logbac,JEECMS后台管理系统之内容,栏目模块
Jeecms源码分析(一)
iteye_3398的博客
10-29 388
最近在看一个jeecms的开源软件,试着分析一下。 下载源码及运行包: 下载地址:http://www.jeecms.com/   jeecms-2012-sp1.zip jeecms-2012-sp1-src.zip 安装前web.xml: 下载地址:http://www.jeecms.com/ <?xml version="1.0"...
PHP相关系列 - XSS相关
自娱自乐的代码人
09-12 1859
关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和d
止常见XSS 过滤 SQL注入 JAVA过滤器filter
rj0511的专栏
12-10 490
XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交...
jeecms-2012.rar
11-10
6. **集成框架**:如果Jeecms使用了Spring、Struts或MyBatis等框架,那么理解这些框架的工作原理和配置方式,对于提升Java Web开发技能非常有帮助。 7. **缓存策略**:查看系统是否使用了缓存技术(如EhCache或...
[CMS程序]JEECMS 2.3.2 Final 系统源码_jeecms-src.rar
05-17
6. **安全性**:采用Java的安全机制,包括止SQL注入、XSS攻击等,保障网站数据安全。 7. **性能优化**:采用缓存技术、数据库优化策略,确保系统在高并发访问下的性能。 8. **易用性**:提供直观的后台管理界面...
[CMS程序]JEECMS 2.3.2 Final 系统程序_jeecms-2.3.2-final.rar
最新发布
05-17
开发者还可以研究其安全性措施,例如止SQL注入、XSS攻击等,以及如何处理会话管理、认证和授权。 JEECMS的文件结构通常包括以下几个部分: 1. 源代码目录:包含Java源文件,展示了系统的业务逻辑和数据访问层。 ...
jeecms src
10-26
7. **安全护**:为了保护网站的安全,Jeecms可能会集成一些安全组件,如Shiro或Spring Security,用于实现权限控制、止SQL注入、XSS攻击等。 8. **缓存机制**:为了提升性能,Jeecms可能会采用缓存技术,如 ...
JEECMS源代码及安装文件
04-07
本资源包含JEECMS的源代码和安装文件,对于开发者来说,这是一份宝贵的参考资料,能够深入理解系统的架构设计和实现原理。 1. **Java技术栈** JEECMS是建立在Java EE平台上的,这意味着它使用了诸如Servlet、JSP、...
使用filter过滤xss攻击
lionzl的专栏
12-02 1421
使用filter过滤xss攻击 博客分类:  技术人生 filter实现脚注入攻击过滤源码    先说一下实现思路: 1. 使用正则表达式的方式实现脚本过滤,这个方法准确率较高,但是可能根据不能的要求会变动; 2. 为了保证配置灵活(包括正则表达式灵活),使用xml配置文件的方式记录配置信息,配置信息包含是否开启校验、是否记录日志、是否中断请求、是否替
服务器安全-阿里自研补丁列表整理
日拱一卒无有尽,功不唐捐终入海
08-29 9297
当前服务器安全补丁管理功能可检测和修复的漏洞如下(若有新的补丁将更新在这里): 补丁编号 路径 漏洞名称 漏洞描述 补丁研发时间 159 /src/library/ubb/PwSimpleUbbCode.php phpwind ubb标签属性xss
exit函数和_exit函数的区别
leap的博客
01-14 8419
高级I/O函数在Linux标准库中,有一套称为高级I/O函数,例如我们所熟知的printf,fopen,fread,fwrite都在此列,他们也被称为缓冲I/O。其特征是对应每一个打开的文件,都存在一个缓冲区,在每次读文件时会多读若干条记录,这样下次读文件时就可以直接从内存的缓冲区去读。在每次写文件时也会先写入缓冲区,当缓冲区写满,或者我们手动的刷新缓冲区,或者遇到\n,EOF这样的结束符,才会把对
配置过滤器filter对跨站脚本攻击XSS实现拦截
08-06 5158
filter的原理图见上博原理图 1.web.xml中配置filter XssFilter com.wk.util.XssFilter XssFilter /* 2.编写相应的filter的java类 package com.wk.util; import java.io.IOException; import javax.servlet
Jeecms项目遇到问题集
liangyixin19800304的专栏
10-07 1897
(1)修改菜单,让栏目出现更多的菜单项目,或者更换菜单背景,只需要修改layout.css /* nav ----------------------------------------*/ #menu{background:url(../img/dhlGB.gif) repeat-x;  height:40px; width:980px;} #topmenu{display:inline
web过滤器中获取请求的参数(content-type:multipart/form-data)
weixin_30297281的博客
12-21 597
1.前言:   1.1 在使用springMVC中,需要在过滤器中获取请求中的参数token,根据token判断请求是否合法;   1.2通过requst.getParameter(key)方法获得参数值;     这种方法有缺陷:它只能获取 POST 提交方式中的Content-Type: application/x-www-form-urlencoded;    Ht...
网站漏洞如何修复web漏洞jeecms
网站安全专家
04-19 1416
jeecms 最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,数据库使用的是oracle,mysql,sql数据库,服务器系统支持windows2008,windows2012,以及linux centos系统。 我们来简单的了解下什么是jeecms系统,该系统主要是针对内...
Web应用安全————Shiro 解决会话固定漏洞
Morty的技术乐园
09-21 2806
引言 承接上一篇《Web应用安全————账号冻结与 Session 实时失效》关于 session 的学习,本篇博客聚焦如何通过 shiro 解决会话固定导致的漏洞问题。 首先,没怎么接触过应用安全方面的小伙伴可能会发起疑问 - 什么是会话固定? 简单来说,系统在登录前和登录后使用同一个 session id,就是会话固定,默认的session 管理机制都是会话固定的。会话固定可能会造成“会...
Jeecms内容管理系统学习教程
"Jeecms开源内容管理...通过以上内容的学习,用户不仅可以掌握Jeecms的基本操作,还能深入理解其工作原理,从而能根据需求定制和扩展系统功能。这是一份全面的Jeecms学习资料,适合初学者和有一定经验的开发者参考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值