SpringBoot之防止SQL注入和XSS攻击

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量3.7k 收藏 12
点赞数
分类专栏: Spring Boot java mysql 文章标签: spring boot sql xss
原文链接:https://blog.csdn.net/weixin_44316527/article/details/106505054
版权
java 同时被 3 个专栏收录
66 篇文章 1 订阅
订阅专栏
Spring Boot
14 篇文章 0 订阅
订阅专栏
mysql
12 篇文章 0 订阅
订阅专栏

SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。
SQL注入漏洞可能会影响使用SQL数据库(如MySQL,Oracle,SQL Server或其他)的任何网站或Web应用程序。犯罪分子可能会利用它来未经授权访问用户的敏感数据:客户信息,个人数据,商业机密,知识产权等。SQL注入攻击是最古老,最流行,最危险的Web应用程序漏洞之一。
我们举一个简单的SQL注入例子,来解释其是如何进行注入的。假设现有一个登录功能,提交时需要验证用户名和密码,后台的验证是通过查库中的USER表完成的:

String sql ="select user_name,pass_word from cas_user where user_name= '"+userName+"' and pass_word= '"+passWord+"'";

这是一条简单的SQL语句,看起来也没有什么语法问题,正常情况下,也可以实现登录验证的功能。但若是用户在前台输入了’’or 1=1",账号密码随便输入,都会查询出数据来,进而登录成功。我们看一下这种情况下拼出的SQL:

String sql ="select user_name,pass_word from cas_user where user_name= '' and pass_word='' or 1=1";

下面进行测试,启动项目
输入正确的账号密码
访问http://localhost:8080/webapp2/testSql1?userName=admin&passWord=123456
或者http://localhost:8080/webapp2/testSql2?userName=admin&passWord=123456
在这里插入图片描述
注入SQLor 1 = 1
输入任意的账号密码(不能为空)
访问http://localhost:8080/webapp2/testSql1?userName=a&passWord=1%20or%201=1
(注:%20是空格)
在这里插入图片描述
访问http://localhost:8080/webapp2/testSql2?userName=a&passWord=1%20or%201=1
(注:%20是空格)在这里插入图片描述
查询Sql1时所有数据都显示出来。

如何防止SQL注入?

1.PreparedStatement预编译处理

		PreparedStatement pst=DBUtil.getConnection().prepareStatement(sql);
		pst.setString(1,userName);
		pst.setString(2,passWord);

2.使用正则表达式过滤传入的参数
在与数据库交互之前,校验一下传入值是否有可能造成SQL注入的特殊字符。如果有的话,前台给出提示,方法return,不与数据库交互。
3.使用Filter+HttpServletRequestWrapper替换非法字符

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
	private final Logger log = LoggerFactory.getLogger(getClass());
    private static String key = "and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+";
    private static Set<String> notAllowedKeyWords = new HashSet<String>(0);
    private static String replacedString="INVALID";
    static {
        String keyStr[] = key.split("\\|");
        for (String str : keyStr) {
            notAllowedKeyWords.add(str);
        }
    }
	… …
	private String clean(String valueP) {
        String value = valueP.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        value = cleanSqlKeyWords(value);
        return value;
    }
    private String cleanSqlKeyWords(String value) {
        String paramValue = value;
        for (String keyword : notAllowedKeyWords) {
            if (paramValue.length() > keyword.length() + 4
                    && (paramValue.contains(" "+keyword)||paramValue.contains(keyword+" ")||paramValue.contains(" "+keyword+" "))) {
                paramValue = StringUtils.replace(paramValue, keyword, replacedString);
                log.error(this.currentUrl + "已被过滤,因为参数中包含不允许sql的关键词(" + keyword
                        + ")"+";参数:"+value+";过滤后的参数:"+paramValue);
            }
        }
        return paramValue;
   }
}

下面再次进行测试,启动项目
输入正确的账号密码,访问http://localhost:8080/webapp2/testSql1?userName=admin&passWord=123456
在这里插入图片描述
注入SQLor 1 = 1
输入任意的账号密码(不能为空)
访问http://localhost:8080/webapp2/testSql1?userName=a&passWord=1%20or%201=1
(注:%20是空格)
在这里插入图片描述

2020-06-02 21:34:11.458  INFO 12672 --- [nio-8080-exec-1] com.cw.test.sqlxss.filter.CrosXssFilter  : CrosXssFilter==》Original_Url:/webapp2/testSql1,ParameterMap:{"userName":["a"],"passWord":["1 or 1=1"]}
2020-06-02 21:34:11.483 ERROR 12672 --- [nio-8080-exec-1] c.c.t.s.f.XssHttpServletRequestWrapper   : /webapp2/testSql1已被过滤,因为参数中包含不允许sql的关键词(or);参数:1 or 1=1;过滤后的参数:1 INVALID 1=1
sql1:select user_name,pass_word from cas_user where user_name= 'a' and pass_word=1 INVALID 1=1

访问http://localhost:8080/webapp2/testSql1?userName=a&passWord=1%20or%201=1
(注:%20是空格)
在这里插入图片描述

2020-06-02 21:38:57.953  INFO 19140 --- [nio-8080-exec-1] com.cw.test.sqlxss.filter.CrosXssFilter  : CrosXssFilter==》Original_Url:/webapp2/testSql2,ParameterMap:{"userName":["a"],"passWord":["1 or 1=1"]}
2020-06-02 21:38:57.979 ERROR 19140 --- [nio-8080-exec-1] c.c.t.s.f.XssHttpServletRequestWrapper   : /webapp2/testSql2已被过滤,因为参数中包含不允许sql的关键词(or);参数:1 or 1=1;过滤后的参数:1 INVALID 1=1
sql2:select user_name,pass_word from cas_user where user_name= 'a' and pass_word= '1 INVALID 1=1'
2020-06-02 21:38:58.270 ERROR 19140 --- [nio-8080-exec-1] c.c.t.s.f.XssHttpServletRequestWrapper   : /webapp2/testSql2已被过滤,因为参数中包含不允许sql的关键词(or);参数:1 or 1=1;过滤后的参数:1 INVALID 1=1
2020-06-02 21:38:58.270  INFO 19140 --- [nio-8080-exec-1] com.cw.test.sqlxss.filter.CrosXssFilter  : CrosXssFilter==》doFilter_Url:/webapp2/testSql2,ParameterMap:{"passWord":["1 INVALID 1=1"],"userName":["a"]}

XSS攻击 通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style
Sheets,CSS)的缩写混淆。因此,将跨站脚本攻击缩写为XSS。

原理

HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始等。当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签引入了一段JavaScript脚本时,这些脚本程序就将会在用户浏览器中执行。所以,当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生XSS漏洞。

如何防止XSS攻击?

Servlet的方式

  • 继承HttpServletRequestWrapper,实现对请求参数的过滤
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private final Logger log = LoggerFactory.getLogger(getClass());
    private static String key = "and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+";
    private static Set<String> notAllowedKeyWords = new HashSet<String>(0);
    private static String replacedString="INVALID";
    static {
        String keyStr[] = key.split("\\|");
        for (String str : keyStr) {
            notAllowedKeyWords.add(str);
        }
    }

    private String currentUrl;

    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
        currentUrl = servletRequest.getRequestURI();
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }
    @Override
    public Map<String, String[]> getParameterMap(){
        Map<String, String[]> values=super.getParameterMap();
        if (values == null) {
            return null;
        }
        Map<String, String[]> result=new HashMap<>();
        for(String key:values.keySet()){
            String encodedKey=cleanXSS(key);
            int count=values.get(key).length;
            String[] encodedValues = new String[count];
            for (int i = 0; i < count; i++){
                encodedValues[i]=cleanXSS(values.get(key)[i]);
            }
            result.put(encodedKey,encodedValues);
        }
        return result;
    }
    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    private String cleanXSS(String valueP) {
        String value = valueP.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

}
  • 实现XSS过滤器
@WebFilter
public class CrosXssFilter implements Filter {
    private static final Logger logger = LoggerFactory.getLogger(CrosXssFilter.class);
@Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
    	request.setCharacterEncoding("utf-8");
    	response.setContentType("text/html;charset=utf-8");
    	//跨域设置
    	if(response instanceof HttpServletResponse){
    		HttpServletResponse httpServletResponse=(HttpServletResponse)response;
    		//通过在响应 header 中设置 ‘*’ 来允许来自所有域的跨域请求访问。
            httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
    		//通过对 Credentials 参数的设置,就可以保持跨域 Ajax 时的 Cookie
            //设置了Allow-Credentials,Allow-Origin就不能为*,需要指明具体的url域
            //httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
            //请求方式
            httpServletResponse.setHeader("Access-Control-Allow-Methods", "*");
            //(预检请求)的返回结果(即 Access-Control-Allow-Methods 和Access-Control-Allow-Headers 提供的信息) 可以被缓存多久
            httpServletResponse.setHeader("Access-Control-Max-Age", "86400");
            //首部字段用于预检请求的响应。其指明了实际请求中允许携带的首部字段
            httpServletResponse.setHeader("Access-Control-Allow-Headers", "*");
    	}
    	//sql,xss过滤
        HttpServletRequest httpServletRequest=(HttpServletRequest)request;
        logger.info("CrosXssFilter==》Original_Url:{},ParameterMap:{}",httpServletRequest.getRequestURI(), JSONObject.toJSONString(httpServletRequest.getParameterMap()));
        XssHttpServletRequestWrapper xssHttpServletRequestWrapper=new XssHttpServletRequestWrapper(
                httpServletRequest);
        chain.doFilter(xssHttpServletRequestWrapper, response);
        logger.info("CrosXssFilter==》doFilter_Url:{},ParameterMap:{}",xssHttpServletRequestWrapper.getRequestURI(), JSONObject.toJSONString(xssHttpServletRequestWrapper.getParameterMap()));
    }
    @Override
    public void destroy() {

    }

}

访问http://localhost:8080/webapp2/testXss?userName=1&passWord=<‘script’>alert(1)</‘script’>(去掉‘单引号)

impl柴猿滚滚
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
预防XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
sql注入xss攻击springmv拦截
07-24
sql注入xss攻击springmv拦截器,可自由调整需要拦截的字符
搭建大型分布式服务(二十)SpringBoot 如何防止SQL注入
hanyi_的专栏
06-22 1176
系列文章目录 文章目录系列文章目录前言一、本文要点二、开发环境三、创建项目四、自定义校验五、测试一下六、小结 前言 群里有个小伙伴提问,SpringBoot项目怎样做参数校验,防止SQL注入?改动尽量少,高灵活,因为并不是每个参数有需要校验的。 一、本文要点 接前文,我们介绍了如何做spring拓展,轻松面对面试官的提问了。本文介绍如何自定义参数校验,保护我们的系统,避免各种参数问题。系列文章完整目录 springboot 自定义校验参数 springboot 自定义校验规则 spri
SpringBoot 防护XSS攻击
Wcybaonier
04-12 3427
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。通过对XSS攻击的介绍,我们知道了XSS常从表单输入、URL请求、以及Cookie等方面进行攻击。XSS攻击方式很多,这里只介绍一些常用的XSS攻击手段以及其目的,为提出Springboot项目防止XSS攻击解决方案做说明。利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
SpringBoot中如何防止XSS攻击sql注入
最新发布
2302_77596945的博客
05-23 512
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
SpringBoot 如何防护 XSS 攻击 ??
doxopcsdn的博客
06-12 1651
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
springboot应用sql注入拦截处理
liaomingwu的专栏
03-11 4491
springboot应用sql注入拦截处理
java springboot sql防注入的6种方式
qq_34874784的博客
08-24 4107
4. 使用ORM框架中提供的查询构造器(Query Builder):ORM框架通常提供查询构造器或查询构造API,这些API可以帮助我们构建数据库查询语句,而无需手动编写SQL语句。1. 参数绑定:通过使用参数绑定,将用户输入的数据作为参数传递给SQL语句,而不是将其直接拼接到SQL语句中。6. 使用安全的编码方式:在将用户输入插入到SQL语句中时,确保使用合适的编码方式进行转义,例如使用转义函数或参数化查询。5. 输入验证和过滤:对于用户输入的数据,应该进行验证和过滤,确保其符合预期的格式和类型。
SpringBoot注入XSSSQL非法参数过滤器
davidhhs的博客
07-16 1083
直接将自定义请求包装器XssAndSqlHttpServletRequestWrapper.java和自定义过滤器 XssAndSqlFilter.java 引入到项目中配置到可以扫描的路径下。拦截所有请求,校验参数中包含XSSSQL的非法参数。 package com.lw.filter; import lombok.extern.slf4j.Slf4j; import org.springframework.util.StreamUtils; import javax.servlet.Re..
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过注入恶意脚本到网页上,来劫持用户会话、窃取敏感信息或执行其他恶意操作。SpringBoot是一个流行的Java框架,用于快速开发高效...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
以上就是使用SpringBoot和ESAPI防止XSS攻击的基本步骤。通过这些实践,你可以构建一个更加安全的Web应用,有效地防御XSS攻击。在实际开发中,还应关注其他安全方面,比如SQL注入、CSRF攻击等,同时遵循OWASP(开放...
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
一、项目演示 (1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT NULL, "name" varchar(255) COLLATE "pg_catalog"."default", "password" varchar(255) COLLATE "pg_catalog"."default" ) ; DROP TABLE IF E
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser......处理Xss攻击sql注入.zip
springboot防止XSS攻击&&SQL防注入
qq_41798504的博客
04-14 1102
SpringBoot下通过过滤器实现对Xss攻击Sql注入
SpringBoot项目防止Sql注入拦截
qq_29991719的博客
12-08 1526
防止Sql注入拦截
面试官:SpringBoot 该如何预防 XSS 攻击 ?
民工哥的博客
03-26 77
点击关注公众号,Java干货及时送达????写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。看看问题XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是...
SpringBoot2.x防止SQL注入XSS攻击、CROS恶意访问
fuu123f的博客
05-20 2742
SQL注入: 把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 例如:http://localhost:8180/webapp2/testSql1?userName=1&passWord=1 or 1=1 解决方案: 1)无论是直接使用数据库还是使用如mybatis组件,使用sql的预编译,不要用拼接字符串 2)后台过滤检测:使用正则表达式过滤传入的参数**;**.字符串过滤 3)前端检测sql常见关键字,如or and drop之类的 XS
SpringBoot通过AOP实现Xss攻击拦截
热门推荐
一恍过去
02-27 1万+
SpringBoot通过AOP实现Xss攻击拦截
Springboot2.0防止XSS攻击的几种方式
listeningdu的博客
03-29 409
在平时做项目代码开发的时候,很容易忽视XSS攻击的防护,网上有很多自定义全局拦截器来实现XSS过滤,其实不需要这么麻烦,SpringBoot留有不少钩子(扩展点),据此我们可以巧妙地实现全局的XSS过滤。转载链接:https://blog.csdn.net/changzhi9421/article/details/121693397。自定义转换器,集成PropertyEditorSupport类实现,转换器还可以实现数据格式转换,例如:date的转换;jsoup实现了非常强大的clean敏感标签的功能。
springboot如何实现使用过滤器防止xss攻击sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤HTML标签。 2. 防止SQL注入:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免SQL注入。例如,可以使用`org.springframework.web.util.HtmlUtils.htmlEscape`方法对请求参数进行转义。 以下是一个示例过滤器的代码: ```java @Component @Order(Ordered.HIGHEST_PRECEDENCE) public class XssSqlFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; // XSS过滤 XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(req); // SQL注入过滤 SqlFilterRequestWrapper sqlRequest = new SqlFilterRequestWrapper(xssRequest); chain.doFilter(sqlRequest, response); } } ``` 其中,`XssHttpServletRequestWrapper`和`SqlFilterRequestWrapper`分别是对`HttpServletRequest`的包装类,用于在请求中过滤XSSSQL注入。 需要注意的是,过滤器的执行顺序可以通过实现`Ordered`接口来指定,从而保证过滤器的正确执行顺序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值