CHECKMARX安全漏洞检测防止XSS(Cross Site Scripting)跨站脚本攻击

已于 2022-02-16 15:36:00 修改
阅读量1.9k 收藏 2
点赞数
文章标签: java
于 2021-02-01 19:33:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46409166/article/details/113527365
版权

CHECKMARX安全漏洞检测防止XSS跨站脚本攻击

总结CHECKMARX软件安全检测报告高危风险漏洞处理方式

  • 高危警告内容
    This can enable a Reflected Cross-Site Scripting (XSS) attack

  • 封装工具类如下

 		public class ESAPIUtil {

    private static ESAPIUtil instance = new ESAPIUtil();

    public <T> T encodeForHTML(T t) {
        // filter xss
        return t;
    }

    public <T> T canonicalize(T t) {
        // filter xss
        return t;
    }

    public <T> T encodeForJavaScript(T t) {
        return t;
    }


    public static ESAPIUtil encoder() {
        return instance;
    }


    public static String cleanXSS(String value) {
        if (value != null) {
            value = ESAPIUtil.encoder().canonicalize(value);
            // 避免空字符串
            value = value.replaceAll("", "");
            // 避免script 标签
            Pattern scriptPattern = compile("<script>(.*?)</script>", CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            //避免src形式的表达式
            //scriptPattern = compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", CASE_INSENSITIVE | MULTILINE | DOTALL);
            //value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", CASE_INSENSITIVE | MULTILINE | DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // 删除单个的 </script> 标签
            scriptPattern = compile("</script>", CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // 删除单个的<script ...> 标签
            scriptPattern = compile("<script(.*?)>", CASE_INSENSITIVE | MULTILINE | DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // 避免 eval(...) 形式表达式
            scriptPattern = compile("eval\\((.*?)\\)", CASE_INSENSITIVE | MULTILINE | DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // 避免 e­xpression(...) 表达式
            scriptPattern = compile("expression\\((.*?)\\)", CASE_INSENSITIVE | MULTILINE | DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // 避免 javascript: 表达式
            scriptPattern = compile("javascript:", CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // 避免 vbscript: 表达式
            scriptPattern = compile("vbscript:", CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // 避免 onl oad= 表达式
            scriptPattern = compile("onload(.*?)=", CASE_INSENSITIVE | MULTILINE | DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // 避免 onXX= 表达式
            scriptPattern = compile("on.*(.*?)=", CASE_INSENSITIVE | MULTILINE | DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 html 标签 表达式
            scriptPattern = compile("<(\\\"[^\\\"]*\\\"|'[^']*'|[^'\\\">])*>", CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
格勒丶
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
XSS,全称为"Cross Site Scripting",是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本。这种攻击方式通常发生在Web应用中,攻击者利用网站未能充分过滤或转义用户输入的数据,将恶意代码嵌入到...
java xss编码注入漏洞,Java编码安全漏洞之:跨站
weixin_35941667的博客
03-13 1891
Reflected_XSS_All_Clients反射跨站,来自用户的数据直接输出到客户端。修复建议使用跨站修复函数处理输出到客户端的数据字符串。修复示例如:public void XSS(HttpServletRequest request, HttpServletResponse response){String text = request.getParameter("text");Syst...
Reflected XSS All Clients漏洞修复
Hhhh_cccc的博客
05-13 8682
package com.smartcity.util; import org.apache.poi.ss.formula.functions.T; import org.owasp.esapi.codecs.MySQLCodec; /** * @author allen smith * @date 2020-04-27 0027 11:18 */ public class ESAPI { private static ESAPI instance = new ESAPI(); .
工作中遇到的Fortify和Checkmarkx问题
qq_42199464的博客
01-04 3461
Fortify和checkmarx工作中的问题
应用安全系列之二十三:SSRF
jimmyleeee的专栏
02-09 2487
SSRF(Server-Side Request Forgery,服务器端请求伪造),该漏洞产生的主要原因是:服务器端接收到了请求中的参数,在没有对参数进行任何验证的情况下,使用它的值作为访问的目标地址或者目标地址的一部分。导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。因此,SSRF经常将含有SSRF漏洞的服务器作为跳板来访问网络内部的机器或者攻击其他因特网上的机器。 由于攻击者可以操纵被访问的目标,攻击者可以将访问目标修改为...
关于checkmars的漏洞
zyc050707的博客
11-19 6264
1、Client Use Of JQuery Outdated Version 可将jQuery具体版本号删除; 2、Client Potential XSS 可对用户输入的进行过滤 如,编写过滤方法 String xssFilter(String value){ value = value.replaceall(">","&gt;"); ...
Web 安全漏洞 SSRF 简介及解决方案
程序员阿飘 的博客
02-16 459
攻击者可根据程序流程,使用应用所在服务器发出攻击者想发出的 http 请求,利用该漏洞来探测生产网中的服务,可以将攻击者直接代理进内网中,可以让攻击者绕过网络访问控制,可以下载未授权的文件,可以直接访问内网,甚至能够获取服务器凭证。笔者负责的内部 web 应用中有一个下载文件的接口 /download,其接受一个 url 参数,指向需要下载的文件地址,应用向该地址发起请求,下载文件至应用所在服务器,然后作后续处理。阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;
XSS漏洞
weixin_50340347的博客
06-19 806
xss(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面插入恶意JS代码,这些代码在HTML解释时会被当做脚本执行,所以当用户请求该网页时,嵌入其中JS代码就会被执行,从而达到攻击的目的.
XSS跨站脚本攻击漏洞修复方法
06-18
XSS(Cross-Site Scripting跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将深入探讨XSS攻击的类型、危害,并...
XSS跨站脚本攻击课件
11-24
跨站脚本攻击(Cross-Site ScriptingXSS)是一种常见的网络安全漏洞,攻击者通过注入恶意脚本代码到网页中,然后使用户在浏览器中执行这些恶意脚本,从而窃取用户的信息、会话令牌或者执行其他恶意操作。...
xss跨站脚本攻击与预防
11-04
XSS(Cross Site Scripting跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息或者操控用户的行为。这种攻击主要发生在Web应用中,攻击者通过注入恶意代码,使受害...
jQuery Mobile漏洞会有跨站脚本攻击风险
10-20
人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。因此有人将跨站脚本攻击缩写为XSS
xss解决方案
u013029883的博客
08-10 1145
XSS介绍 跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS攻击原理: HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符时,
漏洞分析Cross-Site Scripting (XSS) Attack Lab(自用、记录)
weixin_48392428的博客
05-24 1382
Cross-Site Scripting [XSS] Attack Lab1 Overview2 Lab Environment2.1 Starting the Apache Server2.2 The phpBB Web Application2.3 Configuring DNS2.4 Configuring Apache Server2.5 Other software3 Lab Tasks3.1 Task 1: Posting a Malicious Message to Display an Al
第38篇:Checkmarx代码审计/代码检测工具的使用教程(1)
ABC_123的博客
12-21 7522
Part1 前言Checkmarx是以色列研发的一款代码审计工具,是.NET开发的,只能在Windows下使用。很多人喜欢把它和fortify进行比较,其实很难说两款工具孰优孰劣,各有秋千吧,两款工具配合起来互补一下更好。Checkmarx和Fortify一样,是商业版的,没有免费版。就我本人实战使用的经验来看,对于有些高危漏洞,有时候Fortify能扫出来,有时候Checkmarx能扫出来,...
java代码审计-Java 不安全的反射 unsafe reflection
dilamo1968的博客
08-20 2415
攻击者能够建立一个在开发者意料之外的、不可预测的控制流程,贯穿应用程序始终。 这种形式的攻击能够使得攻击者避开身份鉴定,或者访问控制检测,或者使得应用程序以一种意料之外的方式运行。 如果攻击者能够将文件上传到应用程序的classpath或者添加一个classpath的新入口,那么这将导致应用程序陷入完全的困境。 无论是上面哪种情况,攻击者都能使用反射将新的、多数情况下恶意的行...
XSS漏洞原理及防范措施
看着博客敲代码
06-05 1735
XSS(Cross Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,允许攻击者在受害者浏览网站时,通过注入恶意脚本(如JavaScript)到网页中,从而窃取用户敏感信息、篡改页面内容或进行其他恶意行为。
WEB安全之XSS漏洞与SQL注入漏洞介绍及解决方案
m0_74131821的博客
04-18 1754
这篇文章把XSS跨站攻击和SQL注入的相关知识整理了下,比较适合初学者观看。
JVM原理(十一):JVM虚拟机六种必需对类进行初始化的情况
最新发布
zuodingquan666的博客
07-03 515
Java虚拟机把描述类的数据从Class文件加载到内存,并对数据进行校验、转换解析和初始化,最终形成可以被虚拟机直接使用的Java类型,这个过程被称作虚拟机的类加载机制。Java天生可以动态扩展的语言特性就是依赖运行期间动态加载和动态链接这个特点实现的。
xss 跨站脚本攻击漏洞
08-29
跨站脚本攻击(Cross-Site ScriptingXSS)是一种常见的网络安全漏洞,攻击者利用这个漏洞向网站中注入恶意代码,并在用户浏览器上执行。这种攻击通常发生在存在输入输出的网页应用程序中。 XSS攻击主要分为三种类型: 1. 存储型XSS:攻击者将恶意代码存储在目标网站的数据库中,当其他用户访问该网站时,恶意代码被返回并在用户浏览器中执行。 2. 反射型XSS:攻击者构造一个包含恶意代码的URL,并将其发送给目标用户。用户点击链接后,恶意代码从URL中获取并在用户浏览器上执行。 3. DOM-based XSS:攻击者通过修改网页的DOM结构来执行恶意代码,不需要向服务器发送请求。这种类型的XSS攻击主要基于客户端脚本和DOM文档对象模型。 为了防止XSS攻击,开发人员可以采取以下几种措施: 1. 输入验证和过滤:对用户输入的数据进行验证和过滤,确保不允许包含恶意代码。 2. 输出编码:在将数据输出到网页上时,使用适当的编码方式(如HTML实体编码或JavaScript转义)来防止恶意代码的执行。 3. 使用安全的API:避免使用不安全的API,特别是将用户输入作为参数的API。例如,使用textContent替代innerHTML可以防止XSS攻击。 4. 设置HTTP头部:通过设置X-XSS-Protection和Content-Security-Policy头部,可以进一步加强网站的安全性。 请注意,这只是一些常见的防御措施,具体的应对措施还需要根据实际情况和开发框架来确定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值