跨站脚本漏洞

最新推荐文章于 2023-05-27 21:46:28 发布
最新推荐文章于 2023-05-27 21:46:28 发布
阅读量164 收藏
点赞数
文章标签: javascript 系统安全 java ViewUI
原文链接:http://www.cnblogs.com/work4j/p/5825471.html
版权

跨站脚本漏洞,首先看一下专业说明:

跨站脚本漏洞可以再分成两类:Stored attack 和 Reflected attack。这两种攻击的主要区别在于有效负荷到达服务器的方式。Stored attack 仅以某种形式存储在目标服务器上(例如在数据库中),或通过提交至公告板或访问者日志来进行存储。如果请求了所存储的信息,受害者将在自己的浏览器中检索和执行攻击代码。而 Reflected attack 则来自其他地方。当通过动态生成的网页中的服务器端,直接将 Web 客户端的用户输入包含在内时,就会出现 Reflected attack。通过某些社会工程手段,例如通过恶意链接或“伪装”表单,攻击者可以哄骗受害者提交信息,然后对信息进行修改以包含攻击代码,并将其发送至合法服务器。注入的代码随后将反射回用户的浏览器,由于此代码来自受信任的服务器,用户的浏览器将会执行此代码。两种攻击的影响都是相同的。

关于XSS 跨站脚本攻击(Cross Site Scripting),最简单直接的就是在输入框中存入例如<script>alert(600)</script>这样的js代码,影响到系统的正常使用,甚至威胁系统安全。想了解更多的专业解释,可以在网上搜索一下,参考百度百科的解释http://baike.baidu.com/view/2161269.htm

但在实际的应用中如何去防止这种攻击呢,下面给介绍个办法。

自己写 filter 拦截来实现,但要注意的时,在WEB.XML 中配置 filter 的时候,请将这个 filter 放在第一位.

配置过滤器

程序代码 程序代码
public class XSSFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
    }

}


再实现 ServletRequest 的包装类

程序代码 程序代码

import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XSSRequestWrapper extends HttpServletRequestWrapper {

    public XSSRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);

        if (values == null) {
            return null;
        }

        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = stripXSS(values[i]);
        }

        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);

        return stripXSS(value);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return stripXSS(value);
    }

    private String stripXSS(String value) {
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);

            // Avoid null characters
            value = value.replaceAll("", "");

            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid anything in a src='...' type of e­xpression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid eval(...) e­xpressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid e­xpression(...) e­xpressions
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid javascript:... e­xpressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid vbscript:... e­xpressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid οnlοad= e­xpressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
}


例子中注释的部分,就是采用 ESAPI library 来防止XSS攻击的,推荐使用.
当然,我还看到这样一种办法,将所有的编程全角字符的解决方式,但个人觉得并没有上面这种用正则表达式替换的好

程序代码 程序代码

private static String xssEncode(String s) {
        if (s == null || s.equals("")) {
            return s;
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
            case '>':
                sb.append('>');// 全角大于号
                break;
            case '<':
                sb.append('<');// 全角小于号
                break;
            case '\'':
                sb.append('\\');
                sb.append('\'');
                sb.append('\\');
                sb.append('\'');
                break;
            case '\"':
                sb.append('\\');
                sb.append('\"');// 全角双引号
                break;
            case '&':
                sb.append('&');// 全角
                break;
            case '\\':
                sb.append('\');// 全角斜线
                break;
            case '#':
                sb.append('#');// 全角井号
                break;
            case ':':
                sb.append(':');// 全角冒号
                break;
            case '%':
                sb.append("\\\\%");
                break;
            default:
                sb.append(c);
                break;
            }
        }
        return sb.toString();
    }



当然,还有如下更简单的方式:

程序代码 程序代码
private String cleanXSS(String value) {
         //You'll need to remove the spaces from the html entities below
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }


在后台或者用spring 如何实现呢:
首先添加一个jar包:commons-lang-2.5.jar ,然后在后台调用这些函数:

程序代码 程序代码
StringEscapeUtils.escapeHtml(string); 
StringEscapeUtils.escapeJavaScript(string); 
StringEscapeUtils.escapeSql(string);
 

当然,我记得在spring 里面好像有一个 HtmlUtils.htmlEscape , 同样可以做到 过滤 XSS 攻击。从上面的介绍可以看出,防止 XSS 攻击并不难,就是要小心。

转载于:https://www.cnblogs.com/work4j/p/5825471.html

常用网站攻击手段及防御方法
奮鬥徳菜鳥
07-29 1万+
电子商务网站,互联网的安全防御相当重要,尤其是牵扯到支付这一块的。本文总结了一些比较通用的 web 安全防御常识,供大家参考一下
识别跨站脚本漏洞
m0_64845603的博客
05-25 395
识别跨站脚本(XSS)漏洞测试
Apache Tomcat 跨站脚本漏洞处理(CVE-2019-0221)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-21 8677
漏洞描述 Apache Tomcat 跨站脚本漏洞描述: Apache 是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器,Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat的某些示例脚本实现上存在输入验证漏洞,远程攻击者可能利用此漏洞在用户浏览器环境下执行...
[Web安全之实战] 跨站脚本攻击XSS
weixin_33862993的博客
01-31 143
Writer:BYSocket(泥沙砖瓦浆木匠) 微博:BYSocket 豆瓣:BYSocket Reprint it anywhere u want. 文章Points:  1. 认识XSS   2. XSS攻击   3. XSS防御(重点)    一、认识XSS先   先说个故事吧,在上一篇,我还想说这个案例。其实什么叫攻击,很简单。获取攻击者想要的信息,就黑成功了。...
java 防止Xss、SQL注入攻击
负数
02-14 2540
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。 1.1.XSS攻击的危害 1、盗取用户资料,比如:登录帐号、网银帐号等 2、利...
mysql防止xss攻击_java 防止 XSS 攻击的常用方法总结
weixin_32597695的博客
01-28 368
在前面的一篇文章中,讲到了java web应用程序防止 csrf 攻击的方法,参考这里java网页程序采用 spring 防止 csrf 攻击.,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防止这种攻击呢,...
跨站脚本漏洞(XSS)示例
04-15
跨站脚本漏洞(XSS)是网络安全领域中常见的攻击方式之一,主要发生在Web应用程序中。这种漏洞允许攻击者在用户浏览器中注入恶意脚本,从而可以窃取用户的敏感信息,比如Cookie、会话令牌或者执行其他恶意操作。在...
XSS跨站脚本漏洞简介、原理及防护方法
m0_54899775的博客
03-21 7947
XSS跨站脚本漏洞简介、原理及防护方法 XSS跨站漏洞原理及防护
信息安全(二)识别跨站脚本漏洞
最新发布
m0_71253192的博客
05-27 321
(https://www.owasp.org/index.php/Top_10_2013-Top_10)在这个小节中,将看到发现 web 应用程序中 XSS 漏洞的关键点。1.从 Kali Linux 的浏览器打开 DVWA (http://___/dvwa/login.php ,空格处填上靶机的ip),如果弹出登录对话框,则使用 admin 作为用户名和密码。:源代码显示,在输出中没有对特殊字符进行编码,我们发送的特殊字符在没有任何预先处理的情况下反射回页面。
Web安全之防止XSS跨站脚本攻击
weixin_30532759的博客
03-06 158
XSS攻击全称跨站脚本攻击(Cross-site scripting),为和CSS区别,改为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意的web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 XSS攻击的产生原因是对外部输入的参数没有做严格过滤,导致输入参数直接参与页面源代码,相当于页面源代码可以被外部修改,因此可能被改变...
CVE-2019-0221
龙卷风摧毁停车场
02-27 365
Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。该程序实现了对Servlet和JavaServer Page(JSP)的支持。Apache Tomcat的某些示例脚本实现上存在输入验证漏洞,远程攻击者可能利用此漏洞在用户浏览器环境下执行恶意代码。Apache Tomcat的示例Web应用程序中的某些JSP文件没有转义某些用户输入,允许远程攻击者通过包含有“;”字符的特制URI请求执行跨站脚本攻击,向用户浏览器会话注入并执行任意Web脚本或HTML代码。
XSS(跨站脚本)漏洞详解之XSS跨站脚本攻击漏洞的解决
热门推荐
飞上云端看彩虹
01-22 7万+
XSS(跨站脚本)漏洞详解 XSS的原理和分类 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户...
如何使用ApacheTomcatScanner扫描Apache Tomcat服务器漏洞
顶峰
02-28 2674
1、支持使用多线程Worker搜索Apache Tomcat服务器;2、支持扫描多个目标:支持接收一个Windows域中的目标计算机列表,支持从文件按行读取目标,支持使用–t/–target选项读取单个目标(IP/DNS/CIDR);3、支持自定义即设置端口列表;4、支持测试/manager/html访问和默认凭证;5、支持使用–list-cves选项查看每个版本的CVE漏洞信息;1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。
java 防止 XSS 攻击的常用方法总结.
每天积累一点,一年后你会发现,自己变化很大
02-13 1万+
在前面的一篇文章中,讲到了java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击. ,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防
java 防止 XSS 攻击的常用方法总结
Jeenyyin的博客
08-23 495
项目中遇到的关于XSS注入:查阅资料如下: Java 今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防止这种攻击呢,下面给出几种办法. 自己写 filter 拦截来实现,但要注意的时,在WEB.XML 中配置 filter 的时候,请将这个 f...
XSS解决方案(以及前端UrlEncode 加密两次的原理分析);附代码
qq_32649889的博客
11-07 2931
**XSSFilter.java** package com.sfpay.scfp.oms.app.filter;import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servl
Spring MVC防御CSRF、XSS和SQL注入攻击[转]
breezylee09的专栏
02-13 253
转;http://www.cnblogs.com/Mainz/archive/2012/11/01/2749874.html   本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRF 对CSRF来说,其实Spring3.1、ASP.NET MVC3、R...
17 - 05 - 21 Web攻击(XSS漏洞
Sodaoo's Blog
03-08 1155
XSS XSS攻击 XSS漏洞 reflected XSS stored XSS
分布式跨站脚本漏洞检测技术:一种高效方案
"基于分布式跨站脚本漏洞检测技术的研究,旨在解决Web应用程序中跨站脚本(XSS)攻击的安全隐患。该研究由杨君和马兆丰开展,他们分别是北京邮电大学硕士生和信息安全中心的骨干青年教师。" XSS(Cross-Site ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值