代码详解sql注入和XSS过滤

最新推荐文章于 2024-06-25 09:45:00 发布
最新推荐文章于 2024-06-25 09:45:00 发布
阅读量1.4k 收藏 8
点赞数 1
分类专栏: 微信公号原创
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39913153/article/details/92670933
版权

SQL注入

SQL注入式攻击是未将代码与数据进行严格的隔离,导致在读取用户数据的时候,错误地把数据作为代码的一部分执行,从而导致一些安全问题。例如:传入"–!#@这些内容到SQL上导致语句错误被执行。

如何预防?

  1. 过滤用户输入的参数中的特殊字符,从而降低被SQL注入的风险。
  2. 禁止通过字符串拼接的SQL语句,严格使用参数绑定传入的SQL参数。
  3. 合理使用数据库访问框架提供的防注入机制。比如MyBatis提供的#{}绑定参数,从而防止SQL注入。同时谨慎使用 , {}, ,{}相当于使用字符串拼接SQL。

XSS过滤

XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。XSS主要用于信息窃取、破坏等目的。

示例

<div>
<h3>xss攻击示例</h3>
<br>测试信息:<%= request.getParameter("message")>
</div>

上面代码从请求中获取message参数输出到页面展示。如果参数内容为

测试信息<script src=http://demo/test-script.js/>

就会执行自己写的test-script.js脚本。

如何预防?

  1. 通过对用户输入数据做过滤或者转义
  2. 后端可使用Jsoup框架对用户输入字符串做XSS过滤
  3. 使用Spring框架提供的HtmlUtils做HTML转义

使用Jsoup实现sql注入和XSS过滤

添加maven依赖

<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.9.2</version>
</dependency>

自定义JsoupUtil工具类

public class JsoupUtil {
    /**
     * 使用自带的basicWithImages 白名单
     * 允许的便签有a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,
     * strike,strong,sub,sup,u,ul,img
     * 以及a标签的href,img标签的src,align,alt,height,width,title属性
     */
    private static final Whitelist whitelist = Whitelist.basicWithImages();
    /**
     * 配置过滤化参数,不对代码进行格式化
     */
    private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);

    private static Logger log = LogManager.getLogger(JsoupUtil.class);
    static {
        // 富文本编辑时一些样式是使用style来进行实现的,所以需要给所有标签添加style属性
        whitelist.addAttributes(":all", "style");
    }

    public static String clean(String content, boolean method) {
        if (method) {
            if (StringUtils.isNotBlank(content)) content = content.trim();
            content = Jsoup.clean(content, "", whitelist, outputSettings);
        } else {
            content = content.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
            content = content.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
            content = content.replaceAll("'", "& #39;");
            content = content.replaceAll("eval\\((.*)\\)", "");
            content = content.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
            content = content.replaceAll("script", "");
            content = content.replaceAll("[*]", "[" + "*]");
            content = content.replaceAll("[+]", "[" + "+]");
            content = content.replaceAll("[?]", "[" + "?]");
        }
        String[] values = content.split(" ");
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|%|chr|mid|master|truncate|" +
                "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|like'|and|exec|execute|insert|create|drop|" +
                "table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|" +
                "chr|mid|master|truncate|char|declare|or|;|-|--|,|like|//|/|%|#";
        String[] badStrs = badStr.split("\\|");
        for (int i = 0; i < badStrs.length; i++) {
            for (int j = 0; j < values.length; j++) {
                if (values[j].equalsIgnoreCase(badStrs[i])) {
                    values[j] = "forbid";
                    log.info("防sql注入;参数中包含的字段:{" + badStrs[i] + "}" + "替换后的字段:forbid;");
                    log.info("参数内容:"+content);
                }
            }
        }
        StringBuilder sb = new StringBuilder();
        for (int i = 0; i < values.length; i++) {
            if (i == values.length - 1) sb.append(values[i]);
            else  sb.append(values[i] + " ");
        }
        content = sb.toString();
        return content;
    }
}

创建XssHttpServletRequestWrapper

实现XSS过滤的关键:继承HttpServletRequestWrapper,重写从request内获取参数的方法,在其内调用JsoupUtil的方法,进行参数脱敏处理。

import org.apache.commons.lang3.StringUtils;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    HttpServletRequest orgRequest;
    private boolean isIncludeRichText;
    private boolean xssMethod;
    public XssHttpServletRequestWrapper(HttpServletRequest request, boolean isIncludeRichText,boolean xssMethod) {
        super(request);
        orgRequest = request;
        this.isIncludeRichText = isIncludeRichText;
        this.xssMethod=xssMethod;
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name) {
        Boolean flag = ("content".equals(name) || name.endsWith("WithHtml"));
        if (flag && !isIncludeRichText) {
            return super.getParameter(name);
        }
        name = JsoupUtil.clean(name,xssMethod);
        String value = super.getParameter(name);
        if (StringUtils.isNotBlank(value)) {
            value = JsoupUtil.clean(value,xssMethod);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] arr = super.getParameterValues(name);
        if (arr != null) {
            for (int i = 0; i < arr.length; i++) {
                arr[i] = JsoupUtil.clean(arr[i],xssMethod);
            }
        }
        return arr;
    }

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {
        name = JsoupUtil.clean(name,xssMethod);
        String value = super.getHeader(name);
        if (StringUtils.isNotBlank(value)) {
            value = JsoupUtil.clean(value,xssMethod);
        }
        return value;
    }

    //获取最原始的request
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    // 获取最原始的request的静态方法
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
        if (req instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();
        }
        return req;
    }

}

注册XssFilter

通过注解@Configuration的方式注册XSSFilter,使其生效。

@Configuration
public class XssConfig {

    @Value("${xss.method:true}")
    private String xssMethod;
    /**
     * xss过滤拦截器
     */
    @Bean
    public FilterRegistrationBean xssFilterRegistrationBean() {
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
        filterRegistrationBean.setFilter(new XssFilter());
        filterRegistrationBean.setOrder(1);
        filterRegistrationBean.setEnabled(true);
        filterRegistrationBean.addUrlPatterns("/*");
        Map<String, String> initParameters = Maps.newHashMap();
          //配置不需要参数过滤的请求url
        initParameters.put("excludes", "/favicon.ico,/img/*,/js/*,/css/*");
          /*isIncludeRichText默认为true,主要用于设置富文本(项目内约束以content为名或以WithHtml结尾)内容是否需要过滤*/
        initParameters.put("isIncludeRichText", "true");
        // 将值设置到配置文件中:true:过滤js内容  false:替换js内容 
        initParameters.put("xssMethod", xssMethod);
        filterRegistrationBean.setInitParameters(initParameters);
        return filterRegistrationBean;
    }
}

更多文章

Jenkins安装部署项目全过程
报表功能(三)一行核心代码搞定数据合并
重复请求的幂等接口设计的思考(一)
log4j2自定义动态配置日志
开关配置springboot定时任务

长按二维码关注,阅读我的程序员故事


梦江黎
关注
专栏目录
XSSSQL注入
m0_46701146的博客
12-19 1150
实验三XSS注入 XSS注入
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
xss过滤代码
weixin_34200628的博客
05-15 140
#!/usr/bin/env python # -*- coding:utf-8 -*- from bs4 import BeautifulSoup class XSSFilter(object): __instance = None def __init__(self): # XSS白名单 self.valid_tag...
9.XSS过滤
最新发布
愿听风成曲
06-25 341
如下图所示,大小写混合被弹窗,被执行了。查看页面元素代码,被后台代码过滤了。如下图依然可以弹窗为“xss”通过输入代码发现被过滤掉了。
SpringBoot防止XssSql注入攻击过滤
meser88的博客
11-08 1041
package org.demo.monitor; import com.ctrip.framework.apollo.model.ConfigChangeEvent; import com.ctrip.framework.apollo.spring.annotation.ApolloConfigChangeListener; import lombok.extern.slf4j.Slf4j; import org.springframework.context.EnvironmentAware; im.
java 过滤器filter防sql注入
热门推荐
谢彬のCSDN专栏
04-04 1万+
XSSFilter.java public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse, FilterChain filterchain) throws IOException, ServletException { //flag = true 只做URL验证;
javascript过滤XSS
05-06
用javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
防止SQL注入XSS攻击Filter
06-03
### 防止SQL注入XSS攻击Filter详解 #### 一、背景介绍 在现代Web应用开发过程,确保应用程序安全至关重要。其两大常见的安全威胁是SQL注入与跨站脚本(Cross Site Scripting,简称XSS)攻击。这两种攻击方式...
极致CMS(以下简称_JIZHICMS)的一次审计-SQL注入+储存行XSS+逻辑漏洞.pdf
03-22
本文档将详细介绍极致CMS(以下简称JIZHICMS)的安全审计报告,涵盖SQL注入、储存行XSS和逻辑漏洞等多方面的安全问题。本文档将从标题和描述开始,逐步解释标签和部分内容的知识点。 极致CMS审计报告概述 极致...
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot没有web.xml,那Springboot,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
java过滤器,防止XSSSQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
第十二节 XSS 过滤器绕过-01
09-15
XSS 过滤器绕过技术详解 XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的 Web 应用程序安全漏洞,攻击者可以通过插入恶意脚本来盗取用户信息、破坏网站操作等。为防止 XSS 攻击,开发者通常会使用 XSS 过滤...
防数据库sql注入过滤代码
云博客_资源宝分享
03-10 512
防数据库sql注入过滤代码
xss防护及sql注入
cyk_en5566的博客
03-31 567
xssFilter public class XssFilter implements Filter { /** * 排除链接 */ private List<String> excludes = new ArrayList<>(); /** * xss过滤开关 */ private boolean enabled = false; @Override public void init
使用过滤器解决xss攻击、SQL注入问题,自定义注解+aop+反射解决xss攻击问题
qq_37948985的博客
06-07 2479
一、过滤器和拦截器的区别: 不同点: 过滤器的执行顺序在拦截前 过滤器基于servlet,而拦截器是基于框架,springmvc 过滤器是基于函数回调,而拦截器是基于Java的反射机制 参考博客:https://blog.csdn.net/zxd1435513775/article/details/80556034 二、基于过滤器解决xss问题 (1)、什么是xss问题 xss问题就是脚本攻击,是指在参数携带一些script脚本等能在HTML执行的脚本,从而呈现...
代码审计 | SQL注入过滤器绕过
INSBUG的博客
10-20 115
FILTER_VALIDATE_EMAIL过滤器不允许在邮件地址出现空格符号,可以使用/**/来代替。在进行数据库操作时,需要使用PDO预处理的方式,防止SQL注入漏洞的产生。在示例代码,用户输入的参数被直接用于执行SQL查询操作,这种方式存在潜在的安全风险。尽管代码使用了过滤器进行过滤,但这种方式依然不足以防止攻击者绕过过滤器,从而导致SQL注入漏洞。由于filter_var的返回值被丢弃,因此唯一相关的过滤器是FILTER_VALIDATE_EMAIL。2023年10月20日。
SQL注入XSS攻击详解及防护策略
"本文介绍了SQL注入XSS攻击的常见形式以及相应的防范措施。" SQL注入是一种常见的网络安全漏洞,黑客通过在用户输入的数据插入恶意的SQL代码,使得服务器执行非预期的数据库操作,从而获取敏感信息或破坏系统。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值