记录一次修复XSS安全漏洞

最新推荐文章于 2024-05-17 09:32:23 发布
最新推荐文章于 2024-05-17 09:32:23 发布
阅读量2.7k 收藏 8
点赞数 2
分类专栏: 日常工作总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44777693/article/details/108884105
版权

 

前几天收到安全部门的邮件:你负责的项目有个XSS安全漏洞需要修复。我内心:安全知识倒是了解些,到底该怎么去修复,还是一头雾水。。。

什么是XSS呢?

XSS漏洞为跨站脚本漏洞,分为反射型、持久型、DOM型。反射型漏洞的触发是用户点击了被篡改的URL,篡改的数据经前端传到后端后展示在前端,并在前端执行,受影响的是指定浏览器;持久型漏洞是用户输入非法内容,经前端上传到后端,并入库,后经后端传给前端,在前端执行,受影响的是任何访问指定连接的浏览器;DOM型漏洞是用户点击了被篡改的url,篡改后的数据直接在浏览器执行。

具体XSS案例可以看看其它博客,都有明确讲述,不多BB,来先看下我司的奇安信代码卫视扫描出所负责的代码漏洞:

提示下方28行代码有问题:

下方这个提示 26,27行有问题:

 

再来看看给的修复建议:

为了避免反射型XSS攻击,建议采用以下方式进行防御:  
1.对用户的输入进行合理验证(如年龄只能是数字),对特殊字符(如`<、>、'、"以及\<script\>、javascript`等进行过滤。  
2.根据数据将要置于HTML上下文中的不同位置(HTML标签、HTML属性、JavaScript脚本、CSS、URL),对所有不可信数据进行恰当的输出编码。  
 **例如**:采用OWASP ESAPI对数据输出HTML上下文中不同位置,编码方法如下。  
```java
//HTML encode  
ESAPI.encoder().encodeForHTML(inputData);  
//HTML attribute encode  
ESAPI.encoder().encodeForHTMLAttribute(inputData);   
//JavaScript encode  
ESAPI.encoder().encodeForJavaScript(inputData);  
//CSS encode  
ESAPI.encoder().encodeForCSS(inputData);  
//URL encode  
ESAPI.encoder().encodeForURL(inputData);  
```
3.设置HttpOnly属性,避免攻击者利用跨站脚本漏洞进行Cookie劫持攻击。在Java EE中,给Cookie添加HttpOnly的代码如下:  
```java
...  
response.setHeader("Set-Cookie","cookiename=cookievalue; path=/; Domain=domainvaule; Max-age=seconds; HttpOnly");

这修复建议看了后似乎对于上述没啥大的帮助啊。然后经过看别人博客和思考,用以下方式解决:

对于第一个案例:

        String serverName = req.getServerName();
        String host = HtmlUtils.htmlEscape(req.getHeader("host"));
        obj.addProperty("serverName", serverName);
        obj.addProperty("header-host", host);

因为项目使用的是Spring,便用Spring的HtmlUtils.htmlEscape 对request.getHeader("host")进行转译,防止host里面植入html或者sql语句,那如果host篡改呢,这就涉及到CSRF跨站攻击了,下次在写一篇实战解决CSRF跨站攻击案例,目前这段代码只是针对单个方法进行转译,那如果其它方法也有类似,不是要重复写很多?那我们可以用如下方案(因为项目使用springboot方式,直接用bean注入相应filter)

public class XssSpringFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,     FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        chain.doFilter(new XssSpringHttpServletRequestWrapper(req), response);
    }

    @Override
    public void destroy() {

    }
}
public class XssSpringHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssSpringHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }
    /**
     * 对数组参数进行特殊字符过滤
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if(values == null){
            return null;
        }
        String[] newValues = new String[values.length];
        for (int i = 0; i < values.length; i++) {
            //spring的HtmlUtils进行转义
            newValues[i] = HtmlUtils.htmlEscape(values[i]);
        }
        return newValues;
    }

    /**
     * 拦截参数,并对其进行字符转义
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        return HtmlUtils.htmlEscape(value);
    }
     /**
     * 拦截header,并对其进行字符转义
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return HtmlUtils.htmlEscape(value);
    }
@Configuration
public class FilterConfig extends WebMvcConfigurerAdapter {
    @Bean
    public FilterRegistrationBean xssSpringFilter() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new XssSpringFilter());
        registration.addUrlPatterns("/*");
        registration.setName("xssSpringFilter");
        registration.setOrder(-1);
        return registration;
    }
}

 

对于第二个案例,因为url是通过我们内部服务获取的域名,获取的内容不会被篡改,所以也就不用改了,也不能全信代码扫描工具呀

大梦一方
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ESAPI学习笔记
weixin_30487201的博客
12-22 1271
ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想。比如,您不一定要使用ESAPI去实现日志系统,而是应该明白,一套好的日志系统应该是怎么样子的,应具备什么样的特性等。 此外,在引入使用时可能会遇到不少麻烦,所以读者应根据自身...
ESAPI入门使用方法
热门推荐
ru_li的专栏
05-19 3万+
一、介绍ESAPI 二、所需要的软件 我下载后的文件放置在  【E:\软件源文件 】中 三、使用方法   1.将下载好的文件解压。解压的文件依旧在【E:\软件源文件】  2.将文件下列文件加入到                     1)E:\软件源文件\esapi-2.1.0-dist \ esapi-2.1.0.jar
XSS漏洞
04-05
NULL 博文链接:https://0001111.iteye.com/blog/1440168
Java代码漏洞检测-常见漏洞与修复建议
最新发布
baimao__Ch的博客
05-17 1077
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
java 防止JS注入(使用ESAPI进行编码)
大碍桃花开
08-28 5001
今天在做报表导入的时候遇到测试在excel数据里面填了一段js代码,导致数据回显到页面的时候弹一个框出来,这个框我想大家都懂了,又恰好逢项目在做代码安全扫描, 扫描工具使用的是Fortify 关于ESAPI的介绍可查看: https://blog.csdn.net/qq_35623773/article/details/100126615 安全工具推荐使用ESAPI.encoder().encod...
Springboot结合ESAPI——配置XSS防御过滤
jxwen1的博客
10-19 1万+
本文来源与几篇优秀文章的整合,但整合后真实可用, 在此记录以便往后使用 文章地址:https://blog.csdn.net/frog4/article/details/81876462https://blog.csdn.net/julycaka/article/details/78467291 https://blog.csdn.net/fengyao1995/article/de...
Python常见安全漏洞修复方法.zip
10-16
Python是一种广泛应用于Web开发...以上仅是Python安全的一部分重要方面,实际的"Python常见安全漏洞修复方法.pdf"文件可能包含更详尽的解释、实例和最佳实践。学习和实施这些安全措施能显著提升Python应用的安全性。
express中间件当做前端服务器的安全漏洞处理
02-27
然而,如果不正确配置或使用中间件,可能会引入安全漏洞。本篇文章将深入探讨Express中间件中可能存在的安全问题,并提供一些处理这些问题的方法。 一、Express中间件的理解与使用 Express中间件是一种函数,它接收...
YXcms-含有存储型XSS漏洞的源码包
03-17
YXcms是一个内容管理系统(CMS),它不幸地包含了存储型跨站脚本(Stored XSS)的安全漏洞。存储型XSSXSS攻击的一种类型,这种漏洞通常发生在用户提交的数据被持久化存储在服务器上,并在后续请求中未经适当过滤或...
SQL注入和XSS跨站攻击安全规范1
08-08
- 定期进行代码审计和安全测试,发现并修复潜在的漏洞。 - 提升开发团队的安全意识,提供定期的安全培训。 - 配置合适的防火墙和入侵检测系统,增加额外的防护层。 - 对敏感数据进行加密,保护用户隐私。 综上所述...
XSS攻击和跨站脚本安全漏洞防护
Zyw907155124的博客
09-05 3868
存储型XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储型XSS攻击。**例如**:下面JSP代码片段的功能是根据一个已知用户雇员ID(id)从数据库中查询出该用户的地址,并显示在JSP页面上。如果address的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储型XSS攻击。
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取参数的方法进行重写,对参数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
spring boot 2.x解决反射性xss
虫二
07-22 1787
spring boot 2.x解决反射性xss
Java防止XSS攻击
u010786200的博客
12-24 5996
方法一:转义存储:添加XssFilter 1.在web.xml添加过滤器: <!-- 解决xss漏洞 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>XXXXXX.XssFilter</filter-class> </filter> <!-- 解决xss漏洞 --> ..
跨站攻击(XSS+CSRF).docx
01-05
实验目的与要求 1. 能理解XSS注入原理; 2. 能应用Low等级、Medium等级、High级别的XSS; 3. 能理解XSS修复。 4. 能从攻击者角度、受害者角度描述CSRF; 5. 能应用Low等级、Medium等级的CSRF实现; 6. 能摸索High级别的CSRF实现; 7. 能理解CSRF的修复。 2. CSRF定义 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 3. 实验内容 利用Kali Linux对DVWA的Reflected Cross Site Scripting (XSS)/Stored Cross Site Scripting (XSS)模块,包括: 1) Low等级;(15分) 2) Medium等级;(10分) 3) High级别;(10分) 4) Impossible等级的机制以及修复、防御方法。(10分) 5) 报告撰写规范程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值