防止sql攻击和跨网站脚本攻击处理办法

最新推荐文章于 2022-09-12 16:36:48 发布
最新推荐文章于 2022-09-12 16:36:48 发布
阅读量696 收藏 4
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39352976/article/details/104498619
版权

问题:

网站Web攻击,主要有:sql注入,css攻击,跨站脚本攻击,挂马,缓冲区溢出等。

        1.  sql注入:即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击

       2. CSS攻击:通过在URL里插入script标签,然后 诱导信任它们的用户点击它们,确保恶意Javascript代码在受害人的机器上运行。这些攻击利用了用户和服务器之间的信任关系,事实上服务器没有对输入、输出进行检测,从而未拒绝javascript代码。


        3. 跨站脚本攻击(也称为XSS):指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。

        4. 网页挂马:把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面,再加代码使得木马在打开网页里运行。

        5. 缓冲区溢出:由于TCP/IP的设计是没有考虑安全问题的,这使得在网络上传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进程缓冲区溢出


解决方案:

1.定义一个过滤器用于监听http请求并获取参数

@Slf4j
public class CrosXssAndSqlInjectFilter implements Filter {

    private FilterConfig filterConfig = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,                              ServletException {
        log.info("=======开始进入sql和xss过滤器=======");
        request.setCharacterEncoding("utf-8");
        response.setContentType("text/html;charset=utf-8");
        //跨域设置
        if (response instanceof HttpServletResponse) {
            HttpServletResponse httpServletResponse = (HttpServletResponse) response;
            //通过在响应 header 中设置 ‘*’ 来允许来自所有域的跨域请求访问。
            httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
            //通过对 Credentials 参数的设置,就可以保持跨域 Ajax 时的 Cookie
            //设置了Allow-Credentials,Allow-Origin就不能为*,需要指明具体的url域
            //httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
            //请求方式
            httpServletResponse.setHeader("Access-Control-Allow-Methods", "*");
            //(预检请求)的返回结果(即 Access-Control-Allow-Methods 和Access-Control-Allow-Headers 提供的信息) 可以被缓存多久
            httpServletResponse.setHeader("Access-Control-Max-Age", "86400");
            //首部字段用于预检请求的响应。其指明了实际请求中允许携带的首部字段
            httpServletResponse.setHeader("Access-Control-Allow-Headers", "*");
            //sql,xss过滤
            HttpServletRequest httpServletRequest = (HttpServletRequest) request;
            log.info("CrosXssAndSqlInjectFilter.......orignal url:{},ParameterMap:{}", httpServletRequest.getRequestURI(), JSONObject.toJSONString(httpServletRequest.getParameterMap()));
            XssAndSqlHttpServletRequestWrapper xssAndSqlHttpServletRequestWrapper = new XssAndSqlHttpServletRequestWrapper(
                    httpServletRequest);
            /**
             * 对不需要过滤的静态资源url,作忽略处理
             */
            String[] exclusionsUrls = {".js", ".gif", ".jpg", ".png", ".css", ".ico"};
            String path = httpServletRequest.getServletPath();
            for (String str : exclusionsUrls) {
                if (path.contains(str)) {
                    chain.doFilter(request, response);
                    return;
                }
            }
            chain.doFilter(xssAndSqlHttpServletRequestWrapper, response);
            log.info("CrosXssAndSqlInjectFilter..........doFilter url:{},ParameterMap:{}", xssAndSqlHttpServletRequestWrapper.getRequestURI(), JSONObject.toJSONString(xssAndSqlHttpServletRequestWrapper.getParameterMap()));

        }
    }

    @Override
    public void destroy() {
        this.filterConfig = null;
    }
}

2.定义sql关键字过滤和跨网站脚本攻击处理的处理器

@Slf4j
public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private static Set<String> notAllowedKeyWords = new HashSet<>(0);

    static {
        String key = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" +
                "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" +
                "table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";
        String[] keyStr = key.split("\\|");
        Collections.addAll(notAllowedKeyWords, keyStr);
    }

    private String currentUrl;

    public XssAndSqlHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
        currentUrl = servletRequest.getRequestURI();
    }


    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return this.cleanXSS(value);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = this.cleanXSS(values[i]);
        }
        return encodedValues;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> values = super.getParameterMap();
        if (values == null) {
            return null;
        }
        Map<String, String[]> result = new HashMap<>();
        for (String key : values.keySet()) {
            String encodedKey = this.cleanXSS(key);
            int count = values.get(key).length;
            String[] encodedValues = new String[count];
            for (int i = 0; i < count; i++) {
                encodedValues[i] = this.cleanXSS(values.get(key)[i]);
            }
            result.put(encodedKey, encodedValues);
        }
        return result;
    }

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return this.cleanXSS(value);
    }

    private String cleanXSS(String values) {
        // 采用HtmlUtils实现xss过滤
        String value = HtmlUtils.htmlEscape(values);
        // 采用StringEscapeUtils实现xss过滤
        // String value = StringEscapeUtils.escapeHtml4(values);

//        String value = values.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
//        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
//        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
//        value = value.replaceAll("'", "& #39;");
//        value = value.replaceAll("eval\\((.*)\\)", "");
//        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
//        value = value.replaceAll("script", "");
        // sql过滤
        value = this.cleanSqlKeyWords(value);
        return value;
    }

    private String cleanSqlKeyWords(String value) {
        String paramValue = value;
        for (String keyword : notAllowedKeyWords) {
            if (paramValue.length() > keyword.length() + 4
                    && (paramValue.contains(" " + keyword) || paramValue.contains(keyword + " ") || paramValue.contains(" " + keyword + " "))) {
                String replacedString = "INVALID";
                paramValue = StringUtils.replace(paramValue, keyword, replacedString);
                log.error(this.currentUrl + "已被过滤,因为参数中包含不允许sql的关键词(" + keyword
                        + ")" + ";参数:" + value + ";过滤后的参数:" + paramValue);
            }
        }
        return paramValue;
    }
}

阳光的亮亮
关注
专栏目录
预防XSS攻击SQL注入XssFilter
05-19
对于脚本攻击,黑客界共识是:脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取...
asp防范站点脚本攻击的的方法
10-30
站点脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本。ASP(Active Server Pages)是一种微软开发的服务器端脚本语言,用于创建动态网页。由于...
防止SQL注入和脚本攻击
i5252592的专栏
04-23 783
[code="java"] public class SecurityCommLocalUtil { // 防范脚本攻击应该检查以下特殊字符 public static String checkHtmlEncode(String sText) { if (null == sText || sText.length() < 1) return ""; ...
Spring Cloud Gateway 实现XSS、SQL注入拦截
liuerchong的博客
05-29 3587
创建Filter 实现GlobalFilter, Ordered @Slf4j @Component public class SqLinjectionFilter implements GlobalFilter, Ordered { @SneakyThrows @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain){ // grab configur
springboot配置防sql注入和xss注入?
m0_37635053的博客
12-16 1872
springboot配置防sql注入和xss注入? 1.写一个CrosXssFilter类,用来配置请求头的东西(包括域) package com.sinux.qunzhi.config.xss.xssAndSql; import net.minidev.json.JSONObject; import org.slf4j.Logger; import org.slf4j.LoggerFacto...
oracle sql不能执行,Oracle数据库无法对数据表进行insert和update操作解决
weixin_33587731的博客
04-03 756
在Oracle数据库,数据表无法执行update语句,原因是该数据表被其他用户锁定,解决方法如下:首先,执行如下sql语句:select * from v$session t1, v$locked_object t2 where t1.sid=t2.SESSION_ID;或者是select sess.sid, sess.serial#, lo.oracle_username, lo.os_use...
预防XSS攻击,(参数/响应值)特殊字符过滤
weixin_34200628的博客
12-17 1578
一、什么是XSS攻击 XSS是一种经常出现在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面。比如这些代码包括HTML代码和客户端脚本攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phi...
浅论网站交叉脚本攻击SQL插入攻击.pdf
09-19
网站交叉脚本攻击(Cross-Site Scripting,简称XSS)和SQL注入(SQL Injection)是两种常见的针对网站应用程序的安全攻击方式。这些攻击手段主要利用了网站应用程序存在的安全漏洞,通过注入恶意代码或SQL语句,对...
使用Python防止SQL注入攻击的实现示例
09-16
### 使用Python防止SQL注入攻击的实现示例 #### 文章背景与重要性 随着网络技术的发展,Web应用程序的安全性越来越受到人们的重视。开放式Web应用程序安全项目(OWASP)每几年都会发布一次关于Web应用程序最常见...
脚本攻击SQL注入的研究与防范.pdf
09-19
脚本攻击(Cross-Site Scripting,简称XSS)和SQL注入是两种常见的网络安全威胁,它们在互联网环境对用户数据和系统安全构成了严重挑战。本文将深入探讨这两种攻击方式的工作原理、危害以及防范措施。 一、...
Web安全问题:Xss攻击及解决方法
weixin_45650737的博客
04-23 466
转自:https://blog.csdn.net/qq_38892496/article/details/91582868 作者:y_mk 什么是Xss攻击? 首先,这个词实际上是CSS(Cross Site Scripting),但它与CSS同名。所以名字是XSS。 ——摘自百度百科 https://baijiahao.baidu.com/sid=1618267672561552800&wfr=spider&for=pc 其实就是使用Javascript脚本
SpringBoot之防止SQL注入和XSS攻击
ChuaWi98的博客
06-02 3814
SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库的记录。 SQL注入漏洞可能会影响使用SQL数据库(如MySQL,Oracle,SQL Server或其他)的任何网站或Web应用程序。犯罪分子可能会利用它来未经授权访问用户的敏感数据:
sql 拦截
taotao6086的专栏
09-12 1427
之前写过使用p6spy+springboot 做数据库操作日志审计但是随着需求迭代越来越多.功能模块也原来越多,对sql的审计工作越来越重要.先执行后审计已经越来越不满足需求了.在此背景下.做了一个轻量级的sql拦截.
Spring Boot防 XSS攻击 复制即用
我是福强的博客
05-08 350
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 1、引入依赖 <dependency> <groupId>org.apache.com
XSS攻击过滤器实现
EvanDeveloper的专栏
07-12 1778
一、XSS简介 百度百科的解释: XSS又叫CSS (Cross Site Script) ,脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、XSS分类 xss攻击可以分成两种类型: 非持久型攻击 持久型攻
CasHttpServletRequestWrapper cannot be cast to MultipartHttpServletRequest
记录博客好习惯
10-17 1816
上传文件时,偶发异常 上传文件异常! java.lang.ClassCastException: org.jasig.cas.client.util.HttpServletRequestWrapperFilter$CasHttpServletRequestWrapper cannot be cast to org.springframework.web.multipart.Multipart...
.ShiroHttpServletRequest cannot be cast to org.springframework.web.multipart.MultipartHttpServletReq
zy1176896650的博客
03-23 9117
今天在做照片上传,莫名其妙的报出来一堆错,同样的功能做过好多次了,从来没见过如此错误:java.lang.ClassCastException: org.apache.shiro.web.servlet.ShiroHttpServletRequest cannot be cast to org.springframework.web.multipart.MultipartHttpServletRe...
org.apache.shiro.web.servlet.ShiroHttpServletRequest cannot be cast to org.springframework.web.mult.
lanren312的博客
03-28 6016
项目是springboot+shiro,前期做过上传功能,直接用发现报错: MultipartHttpServletRequest params = (MultipartHttpServletRequest) request; 控制台报错信息: java.lang.ClassCastException: org.apache.shiro.web.servlet.ShiroHttpServletRequest cannot be cast to org.springframework.web.mul
cannot be cast to org.springframework.web.multipart.MultipartHttpServletRequest
热门推荐
as20060104的专栏
12-22 1万+
MultipartHttpServletRequest   multipartRequest= (MultipartHttpServletRequest)request;   转型报错cannot be cast to org.springframework.web.multipart.MultipartHttpServletRequest 添加jar包commons-io.jar
什么是SQL注入和脚本攻击
最新发布
05-08
SQL注入攻击是指攻击者通过在应用程序的输入字段插入或“注入”恶意的SQL代码,从而操纵后端数据库的执行。...为了防止脚本攻击,开发人员需要对用户输入进行正确的验证、过滤和编码处理[^2]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值