防止Xss、SQL注入攻击-Java

最新推荐文章于 2024-06-25 10:08:51 发布
最新推荐文章于 2024-06-25 10:08:51 发布
阅读量253 收藏
点赞数
文章标签: java 数据库 javascript ViewUI
原文链接:https://juejin.im/post/5cf5eaa86fb9a07eb3096725
版权

前言:

1.XSS简介

跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。

1.1.XSS攻击的危害
1、盗取用户资料,比如:登录帐号、网银帐号等

2、利用用户身份,读取、篡改、添加、删除企业敏感数据等

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

1.2.防止XSS解决方案
XSS的根源主要是没完全过滤客户端提交的数据 ,所以重点是要过滤用户提交的信息。

将重要的cookie标记为http only, 这样的话js 中的document.cookie语句就不能获取到cookie了.
只允许用户输入我们期望的数据。 例如:age用户年龄只允许用户输入数字,而数字之外的字符都过滤掉。
对数据进行Html Encode 处理: 用户将数据提交上来的时候进行HTML编码,将相应的符号转换为实体名称再进行下一步的处理。
过滤或移除特殊的Html标签, 例如: <script>, <iframe> , < for <, > for >, &quot for
过滤js事件的标签。例如 “οnclick=”, “onfocus” 等等。

2.SQL注入简介

SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。

2.1SQL注入的危害
1.数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。

2. 网页篡改:通过操作数据库对特定网页进行篡改。

3. 数据库被恶意操作:数据库服务器被攻击

4. 服务器被远程控制,被安装后门

5. 删除和修改数据库信息

2.2.防止SQL注入的方式
通常情况下,SQL注入的位置包括:

(1)表单提交,主要是POST请求,也包括GET请求;

(2)URL参数提交,主要为GET请求参数;

(3)Cookie参数提交;

(4)HTTP请求头部的一些可修改的值,比如Referer、User_Agent等;

2.3.防止SQL注入的解决方案
(1)对用户的输入进行校验,使用正则表达式过滤传入的参数

(2)使用参数化语句,不要拼接sql,也可以使用安全的存储过程

(3)不要使用管理员权限的数据库连接,为每个应用使用权限有限的数据库连接

(4)检查数据存储类型

(5)重要的信息一定要加密

项目以SpringBoot项目为例的代码示例
XssFilter:

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.List;
 
@Compent
public class XssFilter implements Filter {
 
    FilterConfig filterConfig = null;
 
    private List<String> urlExclusion = null;
 
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }
 
    public void destroy() {
        this.filterConfig = null;
    }
 
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String servletPath = httpServletRequest.getServletPath();
 
        if (urlExclusion != null && urlExclusion.contains(servletPath)) {
            chain.doFilter(request, response);
        } else {
            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
        }
    }
 
    public List<String> getUrlExclusion() {
        return urlExclusion;
    }
 
    public void setUrlExclusion(List<String> urlExclusion) {
        this.urlExclusion = urlExclusion;
    }
}
复制代码

XssHttpServletRequestWrapper:

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
 
 
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
 
    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
 
        super(servletRequest);
 
    }
 
    public String[] getParameterValues(String parameter) {
 
        String[] values = super.getParameterValues(parameter);
 
        if (values == null) {
 
            return null;
 
        }
 
        int count = values.length;
 
        String[] encodedValues = new String[count];
 
        for (int i = 0; i < count; i++) {
 
            encodedValues[i] = cleanXSS(values[i]);
 
        }
 
        return encodedValues;
 
    }
 
    public String getParameter(String parameter) {
 
        String value = super.getParameter(parameter);
 
        if (value == null) {
 
            return null;
 
        }
 
        return cleanXSS(value);
 
    }
 
    public String getHeader(String name) {
 
        String value = super.getHeader(name);
 
        if (value == null)
 
            return null;
 
        return cleanXSS(value);
 
    }
 
    private String cleanXSS(String value) {
 
        //You'll need to remove the spaces from the html entities below
 
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
 
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
 
        value = value.replaceAll("'", "& #39;");
 
        value = value.replaceAll("eval\\((.*)\\)", "");
 
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
 
        value = value.replaceAll("script", "");
 
        return value;
 
    }
 
 
}
复制代码

以上是其配置,在其拦截器或者过滤器对于某个请求进行Xss 和 Sql注入避免的操作:

GetRequest:

/**
     * 获取包装防Xss Sql注入的 HttpServletRequest
     * @return request
     */
    public static HttpServletRequest getRequest() {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        return new WafRequestWrapper(request);
    }
 
​
复制代码

WafRequestWrapper:

public class WafRequestWrapper extends HttpServletRequestWrapper {
 
	private boolean filterXSS = true;
 
	private boolean filterSQL = true;
 
 
	public WafRequestWrapper(HttpServletRequest request, boolean filterXSS, boolean filterSQL) {
		super(request);
		this.filterXSS = filterXSS;
		this.filterSQL = filterSQL;
	}
 
 
	public WafRequestWrapper(HttpServletRequest request) {
		this(request, true, true);
	}
 
 
	/**
	 * @Description 数组参数过滤
	 * @param parameter
	 * 				过滤参数
	 * @return
	 */
	@Override
	public String[] getParameterValues(String parameter) {
		String[] values = super.getParameterValues(parameter);
		if ( values == null ) {
			return null;
		}
 
		int count = values.length;
		String[] encodedValues = new String[count];
		for ( int i = 0 ; i < count ; i++ ) {
			encodedValues[i] = filterParamString(values[i]);
		}
 
		return encodedValues;
	}
 
	@Override
	@SuppressWarnings({ "rawtypes", "unchecked" })
	public Map getParameterMap() {
		Map<String, String[]> primary = super.getParameterMap();
		Map<String, String[]> result = new HashMap<String, String[]>(primary.size());
		for ( Map.Entry<String, String[]> entry : primary.entrySet() ) {
			result.put(entry.getKey(), filterEntryString(entry.getValue()));
		}
		return result;
 
	}
	
	protected String[] filterEntryString(String[] rawValue) {
		for ( int i = 0 ; i < rawValue.length ; i++ ) {
			rawValue[i] = filterParamString(rawValue[i]);
		}
		return rawValue;
	}
 
	/**
	 * @Description 参数过滤
	 * @param parameter
	 * 				过滤参数
	 * @return
	 */
	@Override
	public String getParameter(String parameter) {
		return filterParamString(super.getParameter(parameter));
	}
 
 
	/**
	 * @Description 请求头过滤 
	 * @param name
	 * 				过滤内容
	 * @return
	 */
	@Override
	public String getHeader(String name) {
		return filterParamString(super.getHeader(name));
	}
 
 
	/**
	 * @Description Cookie内容过滤
	 * @return
	 */
	@Override
	public Cookie[] getCookies() {
		Cookie[] existingCookies = super.getCookies();
		if (existingCookies != null) {
			for (int i = 0 ; i < existingCookies.length ; ++i) {
				Cookie cookie = existingCookies[i];
				cookie.setValue(filterParamString(cookie.getValue()));
			}
		}
		return existingCookies;
	}
 
	/**
	 * @Description 过滤字符串内容
	 * @param rawValue
	 * 				待处理内容
	 * @return
	 */
	protected String filterParamString(String rawValue) {
		if (null == rawValue) {
			return null;
		}
		String tmpStr = rawValue;
		if (this.filterXSS) {
			tmpStr = stripXSS(rawValue);
		}
		if (this.filterSQL) {
			tmpStr = stripSqlInjection(tmpStr);
		}
		return tmpStr;
	}
	
	/**
	 * @Description 过滤XSS脚本内容
	 * @param value
	 * 				待处理内容
	 * @return
	 */
	public static String stripXSS(String value) {
		String rlt = null;
 
		if (null != value) {
			// NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to
			// avoid encoded attacks.
			// value = ESAPI.encoder().canonicalize(value);
 
			// Avoid null characters
			rlt = value.replaceAll("", "");
 
			// Avoid anything between script tags
			Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
			rlt = scriptPattern.matcher(rlt).replaceAll("");
 
			// Avoid anything in a src='...' type of expression
			/*scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE
					| Pattern.MULTILINE | Pattern.DOTALL);
			rlt = scriptPattern.matcher(rlt).replaceAll("");
			scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE
					| Pattern.MULTILINE | Pattern.DOTALL);
			rlt = scriptPattern.matcher(rlt).replaceAll("");*/
 
			// Remove any lonesome </script> tag
			scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
			rlt = scriptPattern.matcher(rlt).replaceAll("");
 
			// Remove any lonesome <script ...> tag
			scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE
					| Pattern.MULTILINE | Pattern.DOTALL);
			rlt = scriptPattern.matcher(rlt).replaceAll("");
 
			// Avoid eval(...) expressions
			scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE
					| Pattern.MULTILINE | Pattern.DOTALL);
			rlt = scriptPattern.matcher(rlt).replaceAll("");
 
			// Avoid expression(...) expressions
			scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE
					| Pattern.MULTILINE | Pattern.DOTALL);
			rlt = scriptPattern.matcher(rlt).replaceAll("");
 
			// Avoid javascript:... expressions
			scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
			rlt = scriptPattern.matcher(rlt).replaceAll("");
 
			// Avoid vbscript:... expressions
			scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
			rlt = scriptPattern.matcher(rlt).replaceAll("");
 
			// Avoid onload= expressions
			scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE
					| Pattern.MULTILINE | Pattern.DOTALL);
			rlt = scriptPattern.matcher(rlt).replaceAll("");
		}
		
		return rlt;
	}
 
	/**
	 * @Description 过滤SQL注入内容
	 * @param value
	 * 				待处理内容
	 * @return
	 */
	public static String stripSqlInjection(String value) {
		return (null == value) ? null : value.replaceAll("('.+--)|(--)|(%7C)", ""); //value.replaceAll("('.+--)|(--)|(\\|)|(%7C)", "");
	}
 
	/**
	 * @Description 过滤SQL/XSS注入内容
	 * @param value
	 * 				待处理内容
	 * @return
	 */
	public static String stripSqlXSS(String value) {
		return stripXSS(stripSqlInjection(value));
	}
 
}
复制代码


转载于:https://juejin.im/post/5cf5eaa86fb9a07eb3096725

weixin_34275734
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
Spring-MVC处理XSSSQL注入攻击的方法总结
11-14
Spring-MVC处理XSSSQL注入攻击的方法总结
XSS 安全漏洞介绍及修复方案
最新发布
墨鸦的博客
06-25 6361
XSS 安全漏洞介绍及修复方案
XSS漏洞和sql注入解决方案
04-17
XSS漏洞和sql注入解决方案 傻瓜试文档,拷贝就可以了,通用版本
防止SQL注入XSS攻击Filter
06-03
防止SQL注入XSS攻击Filter
解决xss漏洞
knight_black_bob的专栏
12-29 273
防止xsssql注入:JS特殊字符过滤正则
10-27
在网络安全领域,XSS(Cross-Site Scripting)和SQL注入是两种常见的攻击方式,对网站的安全性构成严重威胁。本文将详细介绍如何通过JavaScript特殊字符过滤正则表达式来范这两种攻击。 首先,理解XSS攻击XSS...
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
扫描sql注入xss攻击的牛b工具
11-02
在网络安全领域,SQL注入XSS(跨站脚本)攻击是两种常见的威胁,它们针对的是Web应用程序的安全性。本文将详细介绍这两种攻击类型以及相关的范措施,并介绍一款名为"扫描SQL注射与XSS攻击的牛B工具"的实用工具,...
Java Web 安全:XSS, CSRF 与 SQL 注入的最佳策略
m0_57781768的博客
09-28 673
在我们探讨解决方案之前,首先了解一下常见的 Web 攻击有哪些是非常重要的。Web 攻击通常是指攻击者试图在 Web 应用程序中执行未授权的行为的行动。常见的 Web 攻击有:XSS(跨站脚本攻击)、CSRF(跨站请求伪造)和 SQL 注入。
基于Java语言的SQL注入XSS攻击及加固
01-11
本课程在Java语言的基础上,以Web应用安全为主题,分析 Sql注入攻击的原理、XSS 攻击的原理;以及针对这两种攻击行为使用的加固方案。从而为政府或企业已有的Web应用提供安全解决方案参考。
java 防止XssSQL注入攻击
负数
02-14 2498
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。 1.1.XSS攻击的危害 1、盗取用户资料,比如:登录帐号、网银帐号等 2、利...
Javaweb防止sql注入xss攻击,cros恶意访问
oayoat blog
04-03 1866
https://blog.csdn.net/yhhyhhyhhyhh/article/details/84504487
JAVA WEB中处理SQL注入|XSS跨站脚本攻击(咋个办呢 zgbn)
咋个办呢 zgbn
11-28 3679
JAVA WEB中处理SQL注入|XSS跨站脚本在java web项目中,必然会涉及到从客户端向服务端提交数据,那么由于服务端对数据的处理等动作,会因为字符串拼接和使用的特殊性,存在一些漏洞被人利用。这篇文章,主要介绍一下在java web项目中,程序设计上在什么位置进行集中处理,我想这一点还是比较重要的,我经常遇到一些新手也知道对提交数据进行处理,但是苦于不知道在什么位置处理,最终用了很low
JavaWeb开发防止SQL、XSS注入
Fiang-As-Dre的博客
07-11 6791
SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库SQL注入攻击实例 比如在一个登录界面,要求输入用户名和密码: 可以这样输入实现免帐号登录: 用户名: ‘or 1 = 1 – 密 码: 点登陆,如若没有做特殊处理,那么这个非法
如何预SQL注入XSS攻击
一个傻子程序媛的博客
06-10 5043
SQL注入简介 SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句...
Java防止SQL注入问题 解决XSS攻击 (个人梳理)
博桑根本提不起劲的博客
01-20 468
Java防止SQL注入问题 解决XSS攻击 (个人梳理) 【Java防止SQL注入问题 解决XSS攻击 (个人梳理) 文章目录【Java防止SQL注入问题 解决XSS攻击 (个人梳理)前言一、sql注入案例之一(拼接sql)二、避免被sql注入1.不要用拼接sql的形式XSS攻击总结版权声明最后 写给读此文章的你 前言 sql注入是什么,就是用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常 规代码的过程。简单来说,就是客户端插入的数据做了代码才能干的 事情。这个问题的来源是
RequestContextHolder分析及Java代码
忍耐
08-12 2571
1:SpringMVC提供的RequestContextHolder详解 1.RequestContextHolder的使用 RequestContextHolder顾名思义,持有上下文的Request容器.使用是很简单的,具体使用如下: Java代码具体实现: /** * 基础控制器类 * */ public class BaseController { /**
springboot如何实现使用过滤器防止xss攻击sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值