xss防御的最好方式_详解SpringMVC框架中常见漏洞的防御

最新推荐文章于 2024-05-16 11:55:16 发布
最新推荐文章于 2024-05-16 11:55:16 发布
阅读量390 收藏
点赞数
文章标签: xss防御的最好方式

ed596d24aee7511e1fde1774878b3370.png

下面我们就用利用SpringMVC自带的数据库操作类jdbcTemplate举例。比如下面Dao中有如下的两个函数。

函数save使用的是绑定变量的形式很好的防止了sql注入,而queryForInt_函数接收id参数直接对sql语句进行了拼接,测试时出现sql注入。

public static void save(String username,String password) {
jdbcTemplate.update("insert into test_table(user_name,password) values(?,?)",
new Object[]{username,password});
}
public static int queryForInt_(String id){
return jdbcTemplate.queryForInt("select count(0) from test_table where id = " + id);
}

#为了方便仅仅贴出了DAO层代码

所以,在java代码的开发过程中,我们尽量避免使用拼接sql语句的形式去执行数据库语句。如果需要使用拼接sql语句的形式进行数据库查询,那么OWASP提供了一个防御sql注入的Esapi包,这个包中的encodeForSQL方法能对sql注入进行很好的防御。

接着我们就分析下这个encodeForSQL方法。

首先我们介绍这个方法的使用,使用时调用如下,不同的数据库使用不到的方法。

//防止Oracle注入
ESAPI.encoder().encodeForSQL(new OracleCodec(),queryparam)
//防止mysql注入
ESAPI.encoder().encodeForSQL(new MySQLCodec(Mode.STANDARD),queryparam) //Mode.STANDARK为标准的防注入方式,mysql一般用使用的是这个方式
//防止DB2注入
ESAPI.encoder().encodeForSQL(new DB2Codec(),queryparam)
//防止Oracle注入的方法例子,为了方便仅仅给出sql语句的拼接部分
Codec ORACLE_CODEC = new OracleCodec();
String query ="SELECT user_id FROM user_data WHERE user_name = ‘"+ESAPI.encoder().encodeForSQL(ORACLE_CODEC,req.getParameter("userID"))+"’ and user_password = ‘"+ESAPI.encoder().encodeForSQL(ORACLE_CODEC,req.getParameter("pwd"))+"’";

下面我们就用mysql为例字分析encodeForSQL函数做了什么防御。具体函数过

程就不跟踪了,直接分析最后调用了哪个方法。根据代码可知最后调用的是encodeCharacter方法。

public String encodeCharacter( char[] immune, Character c ) {
char ch = c.charValue();
// check for immune characters
if ( containsCharacter( ch, immune ) ) {
return ""+ch;
}
// check for alphanumeric characters
String hex = Codec.getHexForNonAlphanumeric( ch );
if ( hex == null ) {
return ""+ch;
}
switch( mode ) {
case ANSI: return encodeCharacterANSI( c );
case STANDARD: return encodeCharacterMySQL( c );
}
return null;
}

上述方法中containsCharacter函数是不进行验证的字符串白名单,Codec.getHexForNonAlphanumeric函数查找字符传中是否有16进制,没有返回空值。

而encodeCharacterANSI和encodeCharacterMySQL才是防御的重点,我们看一下这两个函数的不同,如果选择的我们选择是Mode.ANSi模式,则字符串则进入下面的函数,可以看到这个函数对单撇号和双撇号进行了转义。

private String encodeCharacterANSI( Character c ) {
if ( c == ''' )
return "''";
if ( c == '"' )
return "";
return ""+c;
}

如果选择的是Mode.STANDARD模式,则字符串则进入下面的函数,可以看到这个函数对单撇号和双撇号、百分号、反斜线等更多的符号进行了转换,所以使用时推荐使用标准模式。

private String encodeCharacterMySQL( Character c ) {
char ch = c.charValue();
if ( ch == 0x00 ) return "0";
if ( ch == 0x08 ) return "b";
if ( ch == 0x09 ) return "t";
if ( ch == 0x0a ) return "n";
if ( ch == 0x0d ) return "r";
if ( ch == 0x1a ) return "Z";
if ( ch == 0x22 ) return """;
if ( ch == 0x25 ) return "%";
if ( ch == 0x27 ) return "'";
if ( ch == 0x5c ) return "";
if ( ch == 0x5f ) return "_";
return "" + c;
}

我们介绍了利用绑定变量和利用esapi两种方式对sql注入进行防御,我的建议是尽量使用绑定变量的是形式进行防注入,安全性能都比较好。

0x02:跨站脚本攻击

关于跨站脚本攻击的防御,我们分析esapi的防御方式。

esapi的防御方式是根据输出点的不同在不同的输出点进行相应的编码。我们看一下使用方法:

xss输出点在html网页中
ESAPI.encoder().encodeForHTML(String input)
xss输出点在html属性中
ESAPI.encoder().encodeForHTMLAttribute(String input)
xss输出点在JavaScript代码中
ESAPI.encoder().encodeForJavaScript(String input)
xss输出点在CSS代码中
ESAPI.encoder().encodeForCSS(String input)
xss输出点在VBScript代码中
ESAPI.encoder().encodeForVBScript(String input)
xss输出点在XPath中
ESAPI.encoder().encodeForXPath(String input)
xss输出点在XML中
ESAPI.encoder().encodeForXML(String input)
xss输出点在XML属性中
ESAPI.encoder().encodeForXMLAttribute(String input)
直接对url进行URL编码
ESAPI.encoder().encodeForURL(String input)

如果java输出在html页面,使用如下示例的方法即可。

String username = ESAPI.encoder().encodeForHTML(req.getParameter("name"))

接下来我们就研究这个方法的具体实现。

public String encodeCharacter( char[] immune, Character c ) {
// check for immune characters
if ( containsCharacter(c, immune ) ) {
return ""+c;
}
// check for alphanumeric characters
String hex = Codec.getHexForNonAlphanumeric(c);
if ( hex == null ) {
return ""+c;
}
// check for illegal characters
//ascii码中的非数字,字符的编码,一般为非打印字符,即不能转换的为uncoide的ascii字符,直接替换成ufffd,显示的为?
if ( ( c <= 0x1f && c != 't' && c != 'n' && c != 'r' ) || ( c >= 0x7f && c <= 0x9f ) )
{
hex = REPLACEMENT_HEX; // Let's entity encode this instead of returning it
c = REPLACEMENT_CHAR;
}
// check if there's a defined entity
//#恶意字符以实体的形式输出
String entityName = (String) characterToEntityMap.get(c);
if (entityName != null) {
return "&" + entityName + ";";
}
// return the hex entity as suggested in the spec,#如果是16进制就转换为html16进制实体字符输出
return "&#x" + hex + ";";
}

恶意字符在js中的编码大家可以看到使用的是js的十六进制编码或者jsunicode编码进行的编码。

其实上面的方法大都是对字符进行html实体编码,html十六进制编码,js十六进制编码,jsunicode的编码和url编码来防止恶意标签的执行。如果感兴趣可以看一下其他的编码方法,原理大致相同就不在一一介绍。

weixin_39890332
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
浅谈防御sql注入
quan9i的博客
03-08 4909
文章目录前言防御手段sql语句预编译规定变量格式过滤字符串和正则通配符关闭PDO部分功能转义特殊字符 前言 文章同步于我的个人博客,欢迎大家访问 众所周知,sql注入是比较常见的一种攻击方式,我们通常学习了很多攻击手段,例如联合查询,二次注入,报错注入,布尔盲注,时间盲注等等,但我们此时仅仅学会了如何得到数据,那如果反过来,让我们保护数据,此时该如何防御sql注入呢,我浅学了一点,并总结如下,希望能对正在学习sql注入的人有一点帮助.。 博主只是一个小白,如果出现问题还请各位师傅多多指教 防御手段 sql
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
最新发布
weixin_44421461的博客
05-16 226
????这是一个或许对你有用的社群????一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书学,往事“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9088
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
SpringMvc防御XSS实践
a120717的博客
06-20 903
SpringMvc防御XSS实践 项目在漏洞扫描时发现xss漏洞, 本以为是常见漏洞,网上有很多解决方案,应该能很快搞定,但实际上文章看了不少,却并未找到十分“顺手”的解决方案。 历经波折终于完成了一套自己想要的方案,现将过程分享出来,希望能帮助到遇到同样的问题人。 方案目标: 只配置一次,与业务接口无关 过滤两种请求的参数:Content-Type为form表单(application...
XSS_Rays.zip_XSS Rays 下载_tool_xss扫描_xss扫描器_漏洞扫描
09-22
最近The Spanner发布了一个名为XSS Rays的 XSS漏洞扫描器。这tool有点意思,是使用JS写的,JS遍历目标的link、form,然后构造测试用例去测试,可以发现DOM的XSS(当然是在测试用例打对了的情况下)。它的调用方式也...
springMVC12.rar_springMvc 注册_springmvc
09-24
在本压缩包 "springMVC12.rar" ,我们主要探讨的是如何在 Spring MVC 实现用户注册功能,包括增加、删除和更新用户。 首先,让我们从 MVC 模式开始。MVC 是一种软件设计模式,用于分离应用程序的数据模型、用户...
WEB开发常见安全漏洞分析与预防策略.rtf
12-23
WEB开发常见安全漏洞分析与预防策略
XSS利用与挖掘-_更新版.rar_Exploit_XSS_XSS 利用_pkav_web exploit
09-23
**XSS(跨站脚本攻击)是一种常见的网络安全漏洞,主要出现在Web应用程序。这种攻击方式允许攻击者通过注入恶意脚本到网页上,当用户访问这些被篡改的页面时,恶意脚本将在用户的浏览器执行,可能导致敏感信息...
SQL注入字符转换器sqlencode
01-21
SQL注入字符转换器。ASCII码、URL等字符转换软件。
SpringMvc如何进行XSS攻击过滤
热门推荐
zzzgd_666的博客
05-23 1万+
随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其加入脚本。 比如我在表单文本框,输入 &amp;lt;script&amp;gt;alert(233)&amp;lt;/script&amp;gt; 那么当这条消息存到数据库,再次在页面上访问获取数据的时候,就会弹出弹窗. 很多网站为了避免XSS的攻击,对用户的输入都采...
springmvc项目XSS漏洞解决
laok186的博客
08-01 1943
反射型XSS漏洞修复
SpringMVC的XXE漏洞测试
Exploit的小站~
05-10 1万+
SpringMVC框架支持XML到Object的映射,内部是使用两个全局接口Marshaller和Unmarshaller,一种实现是使用Jaxb2Marshaller类进行实现,该类自然实现了两个全局接口,用来对XML和Object进行双向解析。并且XML文件可以是DOM文档、输入输出流或者SAXhandler。 SpringMVC流行使用注解来快速开发,其JAXB注解可以对JavaBea...
SpringMvc处理xss攻击
Let_me_tell_you的博客
01-11 1860
XSS攻击是什么 利用漏洞通过注入恶意指令代码,使用户加载并执行代码达到攻击的目的。攻击的代码指令通常是JavaScript代码,比如<script>alert('弹窗')</script> 这段代码,就是一个弹窗代码。 案例代码 先上一段代码来演示下攻击效果,下面这个是一个spring boot例子,一个很简单的接口,支持GET和POST请求。 请求之后返回一个字符串,拼接请求传过来的name参数。 XSS漏洞攻击工具 工欲善其事必先利其器,一个好用趁手的工具很重要。比如现在测
SpringMVC使用过滤器(Filter)过滤容易引发XSS的危险字符
lawliet的博客
02-17 5372
一 简介 如题所示,如果不在服务端对用户的输入信息进行过滤,然后该参数又直接在前台页面展示,毫无疑问将会容易引发XSS攻击(跨站脚本攻击),比如说这样: form表单有这么一个字段: 1 <input type="text" id="author" name="author" placeholder="昵称" />
springMVC利用过滤器防止xss攻击
zxq520131422222的博客
01-22 4164
转载地址http://blog.csdn.net/catoop/article/details/50338259 一、什么是XSS攻击  XSS是一种经常出现在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型
ESAPI
金溪的博客
01-25 2979
ESAPI是owasp提供的一套API级别的web应用解决方案。https://www.owasp.org/ 转自:https://blog.csdn.net/frog4/article/details/81876462 maven &lt;dependency&gt; &lt;groupId&gt;org.owasp.esapi&lt;/groupId&gt; &lt;a...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值