Java过滤XSS脚本, 可通过Appscan扫描

最新推荐文章于 2024-06-18 10:27:01 发布
最新推荐文章于 2024-06-18 10:27:01 发布
阅读量1.4k 收藏
点赞数
文章标签: java javascript ViewUI
原文链接:http://www.cnblogs.com/xdecode/p/8259581.html
版权

项目中有时会需要把一些报错或者解决方案直接返回给前端,

如果直接返回原字符串, 可能会被恶意传参来实现xss注入.

例如常规业务访问一个页面读取文件&file=sdf.cpt,

如果文件不存在, 则页面返回没有找到sdf.cpt的报错.

恶意传参即: &file=sdf.cpt<script>alert(123);</script>, 这样页面会alert出来123;

这时需要我们在后台对于一些报错进行去脚本话.

一开始是用的正则, 后来发现可以注入的脚本方式太多了, 用正则越来越长. 

1 &file=/doc/Advanced/Chart/LineChart/%E5%AE%9A%E6%97%B6%E5%88%B7%E6%96%B0%E6%8A%98%E7%BA%BF%E5%9B%BE.cpt'%20STYLE='xss:e/**/xpression(try{a=firstTime}catch(e){firstTime=1;alert(9178)});

 

1 &file=emb%3Ciframe+src%3Djavascript%3Aalert%2898%29+

 

索性直接采用最简单粗暴的字符串替换了, 把html实体编码,特殊字符如()<>/,例如> 编成&gt; <编成&lt;

这样显示起来没有问题,也不会导致用户输入的js语句被插入到输出页面而被执行.

改完用Appscan扫了下, 也不会提示xss漏洞. Spring中也提供了类似的方法HtmlUtils.htmlEscape.

 1     private static String encodeHtml(String strInput) {
 2         if (StringUtils.isEmpty(strInput)) {
 3             return StringUtils.EMPTY;
 4         }
 5         StringBuffer builder = new StringBuffer(strInput.length() * 2);
 6         CharacterIterator it = new StringCharacterIterator(strInput);
 7         for (char ch = it.first(); ch != CharacterIterator.DONE; ch = it.next()) {
 8             if ((((ch > '`') && (ch < '{')) || ((ch > '@') && (ch < '[')))
 9                     || (((ch == ' ') || ((ch > '/') && (ch < ':'))) || (((ch == '.') || (ch == ',')) || ((ch == '-') || (ch == '_'))))) {
10                 builder.append(ch);
11             } else {
12                 builder.append("&#" + (int) ch + ";");
13             }
14         }
15         return builder.toString();
16     }

 

转载于:https://www.cnblogs.com/xdecode/p/8259581.html

bill_live
关注
java xss过滤器_JavaWeb实现XSS过滤
weixin_34245171的博客
02-13 883
public class XSSHttpServletRequestWrapper extends HttpServletRequestWrapper {/*** Constructs a request object wrapping the given request.** @param request The request to wrap* @throws IllegalArgumentE...
AppScan安全扫描记录遇到的一些问题
qq_41345150的博客
09-26 1842
AppScan安全扫描记录遇到的一些问题sql注入&跨站点脚本编制&通过框架钓鱼&链接注入(便于跨站请求伪造)缺少跨帧脚本编制防御 X-Frame-Options缺少“Content-Security-Policy”头缺少 HTTP Strict-Transport-Security 头缺少“X-Content-Type-Options”头缺少“X-XSS-Protecti...
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
AppScan 8.6 新特性 - XSS Analyzer
软件质量优化
10-27 3070
AppScan 8.6 新特性 - XSS Analyzerhttp://automationqa.com/forum.php?mod=viewthread&tid=1000&fromuid=21
Java Web使用过滤器防止Xss攻击,解决Xss漏洞
weixin_30640291的博客
06-10 548
转: Java Web使用过滤器防止Xss攻击,解决Xss漏洞 2018年11月11日 10:41:27 我欲乘风,直上九天 阅读数:2687 版权声明:本文为博主原创文章,转载请注明出处!有时候也不是原创,手快就选了(我的文章随意转载复制,不在乎的哈!) https://blog.csdn.net/qq_31384551/article/details...
java 过滤scrpict标签,XSS之规避过滤小记
weixin_42460407的博客
03-31 434
1,快速检查一个人页面是否有XSS,可以利用容易被轻视的""标签:';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//-->...
web安全扫描问题疑问 AppScan
03-18
4. **XSSFilter.java** - 跨站脚本XSS过滤器,可能是用Java实现的一个组件,用于检测并阻止潜在的XSS攻击。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,可能导致信息泄露、会话劫持等。有效的XSS过滤器应能...
Security Appscan Standard 漏洞扫描及补漏洞
YouXu
03-03 4816
IBM Security Appscan 介绍 IBM Security AppScan 在应用程序开发的生命周期过程中提供安全测试, AppScan 扫描很多常规的漏洞,比如跨站脚本攻击(cross site cripting),HTTP 响应分割(HTTP response splitting),参数篡改(Parameter Tampering)等等。
Appscan漏洞之跨站点请求伪造(CSRF)
arkqyo2595的博客
06-06 1924
  公司前段时间使用了Fortify扫描项目代码,在修复完这些Fortify漏洞后,最近又启用了Appscan对项目代码进行漏洞扫描,同样也是安排了本人对这些漏洞进行修复。现在,针对修复过的Appscan漏洞也一一总结一下。本次先对Cross-site request forgery(跨站请求伪造) 漏洞进行总结如下: 1、跨站点请求伪造(CSRF) 1.1、攻击原理   CSR...
Web安全术语——摘自IBM AppScan的帮助文档
x7rslt的博客
06-07 1230
使用AppScan安全扫描时,翻看帮助(F1)找到的这个术语表。文档中提到很多Web相关的名词,有助于认识大多数的安全类英文词组,了解最基本的意思。(建议多阅读官方文档,经常会有意外收获)本术语表说明在 AppScan® Standard 用户界面和文档中使用的术语和首字母缩略词。〔A〕安全风险 (security risk)威胁的潜在成功机会和可能继而发生的损害。安全审计 (security a...
XSS HTMLFILTER
10-07
你还在为防范xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护
javaxss必备jar包及过滤器代码
08-21
包含xssProtect-0.1.jar等三个必需jar包,相关过滤器代码
xss站点攻击过滤jar包antisamy-1.5.1
10-17
ntisamy是owasp的开源项目,它用来确保用户输入的HTML/CSS符合应用规范的API,可以有效防止xss攻击。它提供了用于验证用户输入的富文本以防御跨站脚本的API
JDK1.8-APPSCAN.zip
07-28
java_JDK源码包和安全扫描工具appscan,方便更好理解java编程,从而提升java技术
XSS跨站脚本攻击在Java开发中防范的方法
01-09
XSS跨站脚本攻击在Java开发中防范的方法
XSS过滤器实现
最新发布
博客
06-18 295
通过注册过滤器,重写HttpServletRequestWrapper类,调用Hutool工具实现业务。
javaAppScan工具的集成
qq_40617729的博客
06-17 235
1.本地安装好AppScan工具 2.用java代码 调用cmd 命令生成 PDF报告 3.代码如下(配置和常量信息在上篇jmeter集成里面) appScan命令: appscancmd e /su http://192.168.10.101:9099/ /d C:\shx\test.scan /rt pdf /report_file C:\shx\test.pdf @Service @Slf4j public class AppScanServiceExt extends OpenStackServic
java 跨站攻击脚本过滤工具类
qq_34874784的博客
11-23 460
java 跨站攻击脚本过滤工具类
java 过滤脚本_XSS脚本注入的过滤
weixin_29220405的博客
02-16 321
XSS又叫CSS(CrossSiteScript) ,跨站脚本***。它指的是恶意***者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意***用户的特殊目的。XSS属于被动式的***,因为其被动且不好利用,所以许多人常呼略其危害性.我们这里只是一个简单的例子,不全,我们在springmvc中做一个小的demo,1.web.xml配置过...
Java过滤器防御XSS与SQL注入实战
"本文介绍了如何使用Java过滤器来防范XSS跨站脚本攻击和SQL注入攻击,通过在web.xml配置文件中定义过滤器,并编写相应的Filter实现类来拦截和处理恶意输入,保护Web应用程序的安全性。" 在Web开发中,安全性是至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值