bboss跨站攻击白名单和脚本攻击防火墙配置

最新推荐文章于 2024-10-18 19:38:19 发布
最新推荐文章于 2024-10-18 19:38:19 发布
阅读量184 收藏
点赞数
分类专栏: bboss bboss 安全认证SSO 文章标签: bboss xss
本文详细介绍bboss跨站攻击白名单和跨站脚本攻击防火墙配置

[b]首先看一个完整的过滤器配置:[/b] 
  <filter>
	    <filter-name>CharsetEncoding</filter-name>
	    <filter-class>com.frameworkset.common.filter.SessionCharsetEncodingFilter</filter-class>
	    <init-param>
	      <param-name>RequestEncoding</param-name>
	      <param-value>UTF-8</param-value>
	    </init-param>
	    <init-param>
	      <param-name>ResponseEncoding</param-name>
	      <param-value>UTF-8</param-value>
	    </init-param>
	    <init-param>
	      <param-name>mode</param-name>
	      <param-value>0</param-value>
	    </init-param>  
	    <init-param>
	      <param-name>checkiemodeldialog</param-name>
	      <param-value>true</param-value>

	    </init-param>
	    <init-param>
	      <param-name>refererDefender</param-name>
	      <param-value>true</param-value>

	    </init-param>
	   <init-param>
	      <param-name>refererwallwhilelist</param-name>
	      <param-value>*.bboss.com.cn,http://*.referer.ibm.com</param-value>
	    </init-param>
	    <init-param>
	      <param-name>wallfilterrules</param-name>
	      <param-value><![CDATA[><,%3E%3C,<iframe,%3Ciframe,<script,%3Cscript,<img,%3Cimg,alert(,alert%28,eval(,eval%28,style=,style%3D,[window['location'],{valueOf:alert},{toString:alert},[window["location"],new Function(]]>
	      </param-value>

	    </init-param>

	    <init-param>
	      <param-name>wallwhilelist</param-name>
	      <param-value><![CDATA[content,fileContent,extfieldvalues,questionString]]>
	      </param-value>

	    </init-param>

    </filter>


  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>*.jsp</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>*.do</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>*.frame</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>*.page</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>*.freepage</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>/cxfservices/*</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>/jasperreport/*</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>/druid/*</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>/Kaptcha.jpg</url-pattern>
  </filter-mapping>


[b]过滤器中涉及到的跨站攻击配置参数有:[/b] 
<init-param>
	      <param-name>refererDefender</param-name>
	      <param-value>true</param-value>

	    </init-param>
	   <init-param>
	      <param-name>refererwallwhilelist</param-name>
	      <param-value>*.bboss.com.cn,http://*.referer.ibm.com</param-value>
	    </init-param>

[b]参数含义说明:[/b]
refererDefender 是否启用跨站攻击防御功能,true启用,false关闭,默认关闭
refererwallwhilelist 配置跨站访问白名单, 开启跨站攻击防御功能后,必须将允许跨站访问的可信域名配置到白名单中,否则不允许被不可信的域名访问。白名单配置规则:多个域名用逗号分隔,域名中可以并只能包含一个*号通配符,多于的*号直接被忽略。

[b]过滤器中涉及到的脚本攻击配置参数有:[/b] 
<init-param>
	      <param-name>wallfilterrules</param-name>
	      <param-value><![CDATA[><,%3E%3C,<iframe,%3Ciframe,<script,%3Cscript,<img,%3Cimg,alert(,alert%28,eval(,eval%28,style=,style%3D,[window['location'],{valueOf:alert},{toString:alert},[window["location"],new Function(]]>
	      </param-value>

	    </init-param>

	    <init-param>
	      <param-name>wallwhilelist</param-name>
	      <param-value><![CDATA[content,fileContent,extfieldvalues,questionString]]>
	      </param-value>

	    </init-param>

[b]参数含义说明:[/b]
wallfilterrules 配置参数中非法的过滤词,多个用逗号分隔,只要请求参数包含其中的任意一个过滤词,即为非法请求参数,参数值将被清空。
wallwhilelist 配置不需要检测过滤词的参数名称列表,也就是白名单列表,多个用逗号分隔,出现在这个清单中的参数名称不接收wallfilterrules规则扫描。
yinbp
关注
专栏目录
springboot拦截器-处理跨域问题与添加IP白名单
u010014465的博客
12-07 6130
跨域概念不再论述,详细定义可自行百度。 解决类似报错  Access-Control-Allow,拦截器中为header添加属性: @Configuration public class CommonInterceptor implements HandlerInterceptor{ @Override public boolean preHandle(HttpServletRequest r...
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
跨站攻击防御拦截方案
星力量的博客
04-01 668
跨站攻击防御拦截方案 跨站攻击简介 跨站攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 防御拦截方案 方案一:
ElasticSearch DSL Script使用案例分享
weixin_34345560的博客
06-26 506
为什么80%的码农都做不了架构师?>>> ...
XSS 漏洞原理及防御方法
weixin_30845171的博客
08-09 3809
XSS跨站脚本攻击:两种情况。一种通过外部输入然后直接在浏览器端触发,即反射型XSS;还有一种则是先把利用代码保存在数据库或文件中,当web程序读取利用代码并输出在页面上时触发漏洞,即存储型XSS。DOM型XSS是一种特殊的反射型XSS。 危害:前端页面能做的事它都能做。(不仅仅盗取cookie、修改页面等) 1、 挖掘经验 XSS挖掘的关键在于寻找有没有被过滤的参数,且这些参数传入到输出函...
bboss防止跨站攻击策略
Bboss 每天进步一点点
10-12 158
bboss防止跨站攻击策略 此前博客中撰文介绍了[url=http://yin-bp.iteye.com/blog/1662594]bboss 动态令牌机制轻松搞定表单重复提交[/url]的方法,本文介绍bboss防止跨站攻击的方法。 通过增强bboss字符编码转换器的功能实现防止跨站攻击功能: com.frameworkset.common.filter.CharsetEncoding...
bboss mvc 通过jsonp实现跨站跨域远程访问
04-05
bboss MVC是一个基于Java的轻量级MVC框架,它提供了丰富的API和配置选项,使得开发者可以方便地构建Web应用。 首先,理解JSONP的基本原理是至关重要的。JSONP的工作机制是,前端通过`<script>`标签的`src`属性向...
基于JavaScript和CSS的bboss会话共享demo设计源码
09-22
本项目是基于JavaScript和CSS开发的bboss会话共享demo,包含421个文件,其中包括114个GIF图像文件、111个JPG图像文件、88个PNG图像文件、29个JavaScript脚本文件、20个CSS样式表文件、18个XML配置文件、12个JSP页面...
防御XSS攻击:基于白名单的富文本XSS后端过滤(jsoup)
玩具熊猫的博客
01-23 1万+
简介:  跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。   攻击原理:XSS攻击分为很多,其中一种是,攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入其中的Script代码会被执行,从而达到恶意攻击用户的目的。本文主要介绍的是富文本的sc
中国移动BOSS系统的建设和完善
thiwind的专栏
03-09 1108
 BOSS是业务运营支撑系统(Business Operations Support System)的简称,它涵盖了以往的计费、结算、营业、帐务和客户服务等系统的功能,对各种业务功能进行集中、统一的规划和整合,是一体化的、信息资源充分共享的支撑系统。 一、“两级三层”的BOSS系统结构中国移动BOSS系统采用“两级三层”的结构,“
安全漏洞之XSS跨站脚本执行漏洞
zhen_hero的博客
03-27 821
            XSS跨站脚本执行漏洞 漏洞描述 渗透测试人员发现,在实时营销策略管理中的策略编码和策略名称中填入<imgsrc=xonerror='alert(document.cookie)';>发现会显示cookie,抓包发现EVENT_ID,EVENT_NAME两个字段存在xss漏洞。 漏洞建议 对所有用户提交内容进行可靠的输入验证,包括对...
如何解决跨站脚本攻击
热门推荐
z69183787的专栏
06-25 2万+
摘要: Cross-site scripting(CSS or XSS)跨站脚本不像其他攻击只包含两个部分:攻击者和web站点,跨站脚本包含三个部分:攻击者,客户和web站点。跨站脚本攻击的目的是窃取客户的cookies,或者其他可以证明用户身份的敏感信息。 攻击 一个get请求 GET /welcome.cgi Cross-site scripting(CSS or XSS)跨
dvwa:xss全系列全难度解析
anddddoooo的博客
10-12 1190
引号内注入:^^^^^^^...</select>​引号外注入:^^^^^^^...</select>
[渗透测试] XSS跨站脚本攻击 零基础入门教程
Da1NtY的博客
10-15 1031
跨站脚本(Cross Site Scripting,XSS)是指客户端代码注入攻击攻击者在合法的网站或Web应用程序中执行恶意脚本。当Web应用程序在其生成的输出中使用未经验证或未编码的用户输入时,就会发生XSSXSS主要使用JS来执行恶意攻击,因为JS可以操控HTML、CSS、浏览器等,所有就给了攻击者可乘之机。
DAY52WEB 攻防-XSS 跨站&反射型&存储型&DOM 型&标签闭合&输入输出&JS 代码解析
m0_74402888的博客
10-16 795
解决方式:使用特定的语句进行替换,如**x onerror=”alert(1)”**如果你将 onerror="alert(1)" 嵌入到某个 HTML 元素中,那么当该元素加载失败时(例如图像加载失败、脚本加载失败等),JavaScript 中的 alert(1) 将会被执行,弹出一个带有 “1” 的警告框。通过URL访问该页面http://192.168.137.1:84/domxss.html#https://www.baidu.com)并在**#后面跟上,想要跳转的页面,访问即可成功跳转**
利用配置错误的负载均衡器,通过XSS窃取Cookies
2401_82664371的博客
10-14 613
在本文中,我们将探讨一个涉及负载均衡器漏洞利用和跨站脚本攻击XSS)来劫取应用程序Cookies的实际场景。由于保密协议的限制,我们将省略具体名称和截图,但我们会详细分析攻击过程及其影响。通过将负载均衡器的主机头注入漏洞与XSS攻击结合,攻击者绕过了Cookies的保护机制,获得了未授权的敏感信息。这个案例研究提醒我们,处理和缓解这些漏洞对于保护应用程序和用户数据至关重要。
学习中,师傅b站泷羽sec——xss挖掘过程
SYH885的博客
10-18 252
主要还是思路的梳理,资产验证,寻找相当多的资产从而达到各个面的攻击。得益于泷羽sec师傅的点播。
rhino grasshoper 框内物体排列(附视频).gh
最新发布
10-18
【闭合线内物体按方向移动/排列】https://www.bilibili.com/video/BV1z1WfeSEWu?vd_source=b420114c993138474d2e93d83ead77a5
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值