java 跨站点脚本编制_AppScan跨站点脚本编制修复

最新推荐文章于 2021-02-26 21:24:13 发布
最新推荐文章于 2021-02-26 21:24:13 发布
阅读量189 收藏
点赞数
文章标签: java 跨站点脚本编制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39720807/article/details/114113631
版权

查了下百度,跨站点脚本编制其实也就是在url后加入参数和js脚本实现一些坏坏的事情,至少appscan就是这么干的。

那么主要的工作就是把恶意代码给过滤了,作为javaweb开发,明显第一步想到的是过滤器。

网上很多都是将request对象 传入HttpServletRequestWrapper的子类 ,主要是将获取信息的方法过滤了一下,主要有:getParameterValues,getParameterValues,getParameter这几个方法。也就是每次用request.getParameter("??")这些个方法时,会第一时间先过滤一遍恶意代码。

然而!!!我按照appscan 的检测url 再输了一次 还是会执行js脚本,原因在它传的参数我后台根本没有,也就是 不会用getParamter方法来过滤一遍!

所以还是要将所有的parameterName循环一遍 把他们带的参数给干掉!

public class NoHostFilter implements Filter {

public static Logger log = LoggerFactory.getLogger(NoHostFilter.class);

@Override

public void destroy() {

// TODO Auto-generated method stub

}

@Override

public void doFilter(ServletRequest request, ServletResponse res, FilterChain chain)

throws IOException, ServletException {

MyServletRequest req = new MyServletRequest((HttpServletRequest) request);

HttpServletResponse response = (HttpServletResponse) res;

// 获取请求所有参数,校验防止脚本注入,防止XSS漏洞

String url = req.getRequestURI();

Enumeration> params = req.getParameterNames();

String paramN = null;

while (params.hasMoreElements()) {

paramN = (String) params.nextElement();

String paramVale = req.getParameter(paramN);

if (!paramN.toLowerCase().contains("password")) {

log.info("传参为:" + paramN + "==" + paramVale);

}

// 校验是否存在SQL注入信息

if (checkSQLInject(paramVale, url)) {

response.sendRedirect(req.getContextPath() + "/error/406.jsp");

}

}

chain.doFilter(req, response);

}

@Override

public void init(FilterConfig filterConfig) throws ServletException {

// TODO Auto-generated method stub

}

private String xssEncode(String s) {

if (s == null || s.isEmpty()) {

return s;

}

StringBuilder sb = new StringBuilder(s.length() + 16);

for (int i = 0; i < s.length(); i++) {

char c = s.charAt(i);

switch (c) {

case '>':

sb.append('>');// 全角大于号

break;

case '

sb.append('<');// 全角小于号

break;

case '\'':

sb.append('‘');// 全角单引号

break;

case '\"':

sb.append('“');// 全角双引号

break;

case '&':

sb.append('&');// 全角

break;

case '\\':

sb.append('\');// 全角斜线

break;

case '#':

sb.append('#');// 全角井号

break;

case '(':

sb.append('(');//

break;

case ')':

sb.append(')');//

break;

default:

sb.append(c);

break;

}

}

return sb.toString();

}

/**

*

* 检查是否存在非法字符,防止js脚本注入

*

* @param str

* 被检查的字符串

* @return ture-字符串中存在非法字符,false-不存在非法字符

*/

public boolean checkSQLInject(String str, String url) {

if (StringUtils.isEmpty(str)) {

return false;// 如果传入空串则认为不存在非法字符

}

// 判断黑名单

String[] inj_stra = { "script", "mid", "master", "truncate", "insert", "select", "delete", "update", "declare",

"iframe", "'", "onreadystatechange", "alert", "atestu", "xss", ";", "'", "\"", "", "(", ")", ",",

"\\", "svg", "confirm", "prompt", "onload", "onmouseover", "onfocus", "onerror" };

str = str.toLowerCase(); // sql不区分大小写

for (int i = 0; i < inj_stra.length; i++) {

if (str.indexOf(inj_stra[i]) >= 0) {

return true;

}

}

return false;

}

}

转载至链接:https://my.oschina.net/xlpapapa/blog/1636141

weixin_39720807
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
站点脚本编写综合教程
aboutmn的博客
08-28 993
第一部分:概述 什么是XSS? 站点脚本(XSS)是一种代码注入攻击,它使攻击者可以在用户的浏览器中执行恶意JavaScript。 攻击者不会直接针对其受害者。 相反,他利用受害者访问的网站中的漏洞来使网站为他提供恶意JavaScript。 对于受害者的浏览器而言,恶意JavaScript似乎是网站的合法部分,因此该网站充当了攻击者的无意帮凶。 如何注入恶意JavaScript 攻击者在受害者的浏览器中运行其恶意JavaScript的唯一方法是将其注入受害者打开的网站页面。 如果如果网站部队用户输入进行过
站点脚本编制描述及解决方法
热门推荐
xrdlqy的专栏
02-04 2万+
原文地址:http://www.ibm.com/developerworks/cn/security/s-csscript/#2   简介: 站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中,Paul 描述了这种问题的本质、它是如何起作用的,并概述了一些推荐的修正策略。 当今的大多数网站都对 Web 页面添加了动态内容,从而使用户能获
appscan教程》 三 sql注入站点脚本编制
程序猿学社的博客
08-30 2155
sql注入站点脚本编制 package com.cloudtech.web.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servle...
AppScan扫描安全问题解决实录-站点脚本编制
yaovirus的专栏
05-15 1789
问题分析 未对用户可控制的输入正确进行无害化处理,就将其放置到充当 Web 页面的输出中。这可被站点脚本编制攻击利用。 白话解析:攻击者将脚本作为参数发送到被攻击的接口,然后接口直接返回语句到页面,那么页面就会执行攻击者的脚本。攻击者可以利用脚本获取token、cookie等信息,进而下一步攻击。 解决方案一 Apache配置解决方案: 1开放module LoadModule security2_module modules/mod_security2.so 2添加如下配置 <If
java站点脚本编制_站点请求伪造 站点脚本编制 通过框架钓鱼漏洞 | 学步园...
weixin_33324435的博客
02-26 219
1、站点请求伪造 站点脚本编制 通过框架钓鱼漏洞主要是通过在url参数中添加脚本如:1、URL中添加alert(1)2、参数value=。添加一个过滤器对特殊字符进行拦截package com.xxx.sys.filter;import java.io.IOException;import java.util.Enumeration;import javax.servlet.Filter;i...
安全测试漏扫工具_HCL AppScan最新版本_10.0.8(28186)_2022年8月_appscan28150下载
08-29
安全测试漏扫工具_HCL AppScan最新版本_10.0.8(28186)_2022年8月_appscan28150下载 AppScan_Standard_v10.0.8
AppScan_learning.rar_appscan
07-15
测试工具 rational appscan的入门资料
安全测试漏扫工具_HCL AppScan最新版本_10.0.7(28150)_2022年7月_appscan28150下载
07-09
安全测试漏扫工具_HCL AppScan最新版本_10.0.7(28150)_2022年7月
IBM_Rational_AppScan_试用版下载及安装简介
12-06
*检测 SQL 注入、脚本和其他类型的安全漏洞 *提供详细的扫描报告和修复建议 *支持多种类型的扫描,包括快速扫描、深入扫描和自定义扫描 *提供了强大的配置和自定义功能 五、结论 IBM Rational AppScan 试用版...
xss站点脚本编制漏洞/antisamy策略过滤
09-07
XSS站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
说说脚本
09-15
说说脚本
解决脚本注入,站伪造用户请求,sql注入等http安全漏洞
weixin_34304013的博客
06-08 430
脚本就是在url上带上恶意的js关键字然后脚本注入了,站伪造用户请求就是没有经过登陆,用超链接或者直接url上敲地址进入系统,类似于sql注入这些都是安全漏洞。 sql注入 1、参数化查询预处理,如java使用PreparedStatement()处理变量。 2、转义敏感字符及字符串(SQL的敏感字符包括“exec”,”xp_”,”sp_”,”declare”,...
java 站点脚本编制_站点脚本编制
weixin_28881575的博客
02-16 662
站点脚本编制”攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定 Web 站点交互时假冒这位用户。这个攻击立足于下列事实:Web 站点中所包含的脚本直接将用户在 HTML 页面中的输入(通常是参数值)返回,而不预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入,浏览器便可以执行输入中的代码。 因此,有可能形成指向站点的若干链接,且其中一个参数是由恶意的 ...
web项目配置防止站点请求(XSS攻击)的过滤器
master_02的博客
11-23 1546
一、Microsoft Windows MHTML (XSS)站点脚本编制漏洞描述 XSS(Cross Site Scripting),即脚本攻击,是一种常见于web项目中的计算机安全漏洞。 1、严重性:中危。 2、风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务。 3、原因:未对用户输入正确执行危险...
AppScan站点脚本编制修复
weixin_34253539的博客
03-16 1385
2019独角兽企业重金招聘Python工程师标准>>> ...
IBM Security Appscan漏洞--站点请求伪造
YouXu
03-16 7759
漏洞介绍: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
aweb.xml站点请求伪造过滤器
最新发布
09-06
Web.xml站请求伪造(CSRF)过滤器是通过在web.xml配置文件中设置过滤器,并在过滤器类中继承OncePerRequestFilter.java父类来实现的。在该过滤器中,可以对请求头等进行匹配和判断,如果不符合特定条件,则认为是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值