java往jsp页面嵌入弹出框_Java审计之XSS篇

最新推荐文章于 2023-05-18 11:49:59 发布
最新推荐文章于 2023-05-18 11:49:59 发布
阅读量235 收藏
点赞数
文章标签: java往jsp页面嵌入弹出框
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31451617/article/details/112336257
版权

Java审计之XSS篇

0x00 前言

继续 学习一波Java审计的XSS漏洞的产生过程和代码。

0x01 Java 中XSS漏洞代码分析

xss原理

xss产生过程:

后台未对用户输入进行检查或过滤,直接把用户输入返回至前端。导致javascript代码在客户端任意执行。

XSS代码分析

在php里面会使用echo对用户输入的参数进行直接输出,导致了xss漏洞的产生。而在Java里面会将接收到的未经过滤的参数共享到request域中,在jsp的页面里面使用EL表达式进行输出。

这里编写一个serlvet来做一个演示

xssservlet代码:

@WebServlet("/demo")public class xssServlet extends HttpServlet {
        protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            this.doGet(request,response);    }    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            response.setContentType("text/html");// 设置响应类型        String content = request.getParameter("content");  //获取content传参数据        request.setAttribute("content", content);  //content共享到request域        request.getRequestDispatcher("/WEB-INF/pages/xss.jsp").forward(request, response);  //转发到xxs.jsp页面中    }}
最低0.47元/天 解锁文章
rubyxr109
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java jsp 木马_JSP安全开发之XSS漏洞详解
weixin_39991055的博客
12-21 502
前言大家好,好男人就是我,我就是好男人,我就是-0nise。在各大漏洞举报平台,我们时常会看到XSS漏洞。那么问题来了,为何会出现这种漏洞?出现这种漏洞应该怎么修复?正文1.XSSXSSXSS是什么鬼?XSS又叫跨站脚本攻击(Cross Site Scripting),我不会告诉他原本是叫CSS的,但是为了不和我们所用的层叠样式表(Cascading Style Sheets)CSS搞混。CS...
JSP安全开发之XSS漏洞详解
10-21
XSS又叫CSS (Cross Site Script) ,跨...它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。
jsp xss
jindingwang的专栏
06-05 2066
对于的用户输入搜索出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的。现在让我们来普及一下XSS的一些常识,以后在开发的时候,每当有用户输入的内容时,都要加倍小心。请记住两条原则:过滤输入和转义输出。 一、什么是XSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该
JSP过滤器防止Xss漏洞
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
解决jsp页面引入百度编辑器,出现xss漏洞
qq_32736535的博客
03-01 4261
前端部分引用代码 <form method="post" action="" enctype="multipart/form-data" id="theForm" onsubmit="return validateSubmitForm(this)"> <tr> <th> 内容: </th> <td colspan="3"> <textarea class="e
jsp xss攻击分析
夜行者~@
11-10 2568
<%@ page language="java" pageEncoding="UTF-8"%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <body> <% request.setCharacterEncoding("UTF-8"); ...
ss.rar_java security_spring security_springsecurity4xss
09-23
spring security的文学习文档,很好用的
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
Cross Site Scripting
基于Java的高级XSS攻击过滤器设计源码
最新发布
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
下面小编就为大家带来一JSP过滤器防止Xss漏洞的实现方法(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java后台与jsp前台特殊字符处理(字符串编码与解码)
如风
11-04 1万+
在后台与前台数据交互时如果有特殊字符就很容易出现问题,所以就需要对字符串进行编码传输,在获取后再进行解码: 1.java后台进行编码与解码 URLEncoder.encode(str,"utf-8");//编码 URLDecoder.decode(str,"utf-8");//解码 2.jsp页面进行编码解码 encodeURI(str);//编码 encodeURIC
Java WEB 常用的弹出窗口
热门推荐
谦虚使人发胖的博客
09-22 2万+
需求: 页面上有个“查看”按钮,点击按钮,弹出一个窗口,在窗口内可以进行编辑操作,点击“保存”,保存内容到数据库,并将结果回显到页面上。 方法一: ③的标签对应的js function ${id}_click(paramters) { $("#${id}").html(''); $('#${id}').dialog({ title: "${tit
jsp页面利用弹窗增加数据
Ich warte auf dich的博客
09-05 4325
在对后台对数据进行管理的时候我们可以利用弹窗做很多事情,例如增加数据,原理就是利用layer弹窗技术打开另一个前端页面然后提交表单,刷新页面,当然也可以局部刷新。 具体实现: 在总页面设置一个添加按钮绑定事件根据layer弹窗直接打开另一个jsp窗口,在另一个jsp页面绑定form表单直接提交到后端执行增加数据的action,但不能在该action设置其他视图跳转,最好把该方法返回值设为...
java脚本弹出输入,使用弹出编辑(增加)表单内容
weixin_28717939的博客
03-16 741
0、背景使用AmazeuiPrompt 模态窗口Modal1、JQuery功能:表单复位获取表单的值,并显示在修改弹出(文本、单选、多选、下拉)发送Post异步请求给后台自刷新$(function () {//编辑功能$('table .edit').on("click", function () {//表单复位document.getElementById("form-machineR...
jsp 前端防止 xss 注入攻击
玩家六的专栏
04-19 8702
对输出到 html 上的值做过滤操作,主要可以使用如下两种方式:HtmlEncode方式:var HtmlEncode = function(str){ var hex = new Array('0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f'); var preescape = str; var e
JSP使用JSTL,并且解决XSS安全问题
qq_26817225的博客
01-11 2819
普通的Java Web项目使用JSTL来简化JSP, 以及使用&lt;c:out&gt; 标签处理Cross-Site Scripting安全问题。 1. 下载JSTL必要的jar包 官方下载地址:http://archive.apache.org/dist/jakarta/taglibs/standard/binaries/ 下载 jakarta-taglibs-standard-1.1...
XSS攻击以及java应对措施
qq_43456605的博客
05-18 5074
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击。
为什么jsp页面不宜嵌入原生java程序
03-16
2. 安全性差:将原生Java程序嵌入JSP页面,容易引起安全问题,因为这样的代码容易受到SQL注入、XSS攻击等攻击。 3. 性能问题:将原生Java程序嵌入JSP页面,会影响页面的性能,因为这样的代码需要在每次请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值