xssProject在java web项目中应用

最新推荐文章于 2021-01-28 08:27:13 发布
最新推荐文章于 2021-01-28 08:27:13 发布
阅读量365 收藏 1
点赞数
分类专栏: XSS 文章标签: java web XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjcyyl062c/article/details/84498078
版权
1.项目引入xssProtect-0.1.jar、antlr-3.0.1.jar、antlr-runtime-3.0.1.jar包
2.封装request 

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper
{
    HttpServletRequest orgRequest = null;

    public XssHttpServletRequestWrapper(HttpServletRequest request)
    {
        super(request);
        orgRequest = request;
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name)
    {
        String value = super.getParameter(xssEncode(name));
        if (value != null)
        {
            value = xssEncode(value);
        }
        return value;
    }

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name)
    {

        String value = super.getHeader(xssEncode(name));
        if (value != null)
        {
            value = xssEncode(value);
        }
        return value;
    }

    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     * 
     * @param s
     * @return
     */
    private static String xssEncode(String s)
    {
        if (s == null || s.isEmpty())
        {
            return s;
        }

        StringReader reader = new StringReader( s );
        StringWriter writer = new StringWriter();
        try {
            HTMLParser.process( reader, writer, new XSSFilter(), true );

            return writer.toString();
        } 
        catch (NullPointerException e) {
            return s;
        }
        catch(Exception ex)
        {
            ex.printStackTrace();
        }

        return null;

    }

    /**
     * 获取最原始的request
     * 
     * @return
     */
    public HttpServletRequest getOrgRequest()
    {
        return orgRequest;
    }

    /**
     * 获取最原始的request的静态方法
     * 
     * @return
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest req)
    {
        if (req instanceof XssHttpServletRequestWrapper)
        {
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();
        }

        return req;
    }

3.创建过滤器 

  XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
  chain.doFilter(xssRequest, response);

4.在web.xml中配置过滤器

----------------------------------------------------
2015.04.27更新
各位,通过对xssProject实践发现,该插件之所以报 [color=red]mismatched tree node: EOF expecting[/color]错误是因为其对注入的脚本格式有校验,比如注入<scirpt>而没有匹配的结束标签</scirpt>时会报该错误。[color=green]也就是说,注入代码中开始标签和结束标签不匹配时会出该问题。[/color]
现给出解决方案如下: 
public String escape(String s)
    {
    	StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++)
        {
            char c = s.charAt(i);
            switch (c)
            {
            case '>':
                sb.append('>');// 全角大于号
                break;
            case '<':
                sb.append('<');// 全角小于号
                break;
            case '\'':
                sb.append('‘');// 全角单引号
                break;
            case '\"':
                sb.append('“');// 全角双引号
                break;
            case '\\':
                sb.append('\');// 全角斜线
                break;
            case '%':
        	sb.append('%'); // 全角冒号
        	break;
            default:
                sb.append(c);
                break;
            }

        }
        return sb.toString();
    }


    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     * 
     * @param s
     * @return
     */
    public String xssEncode(String s)
    {
      	if (s == null || s.isEmpty())
        {
            return s;
        }

      	String result = stripXSS(s);
      	if (null != result)
      	{
      		result = escape(result);
      	}

      	return result;
    }

    private String stripXSS(String value) 
    {
    	        if (value != null) 
    	        {
    	            // NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to
    	            // avoid encoded attacks.
    	            // value = ESAPI.encoder().canonicalize(value);
    	            // Avoid null characters
    	            value = value.replaceAll("", "");
    	            // Avoid anything between script tags
    	            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
    	            value = scriptPattern.matcher(value).replaceAll("");
    	            // Avoid anything in a src='...' type of expression
    	            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    	            value = scriptPattern.matcher(value).replaceAll("");
    	            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    	            value = scriptPattern.matcher(value).replaceAll("");
    	            // Remove any lonesome </script> tag
    	            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
    	            value = scriptPattern.matcher(value).replaceAll("");
    	            // Remove any lonesome <script ...> tag
    	            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    	            value = scriptPattern.matcher(value).replaceAll("");
    	            // Avoid eval(...) expressions
    	            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    	            value = scriptPattern.matcher(value).replaceAll("");
    	            // Avoid expression(...) expressions
    	            scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    	            value = scriptPattern.matcher(value).replaceAll("");
    	            // Avoid javascript:... expressions
    	            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
    	            value = scriptPattern.matcher(value).replaceAll("");
    	            // Avoid vbscript:... expressions
    	            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
    	            value = scriptPattern.matcher(value).replaceAll("");
    	            // Avoid onload= expressions
    	            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    	            value = scriptPattern.matcher(value).replaceAll("");

    	            scriptPattern = Pattern.compile("<iframe>(.*?)</iframe>", Pattern.CASE_INSENSITIVE);
    	            value = scriptPattern.matcher(value).replaceAll("");

    	            scriptPattern = Pattern.compile("</iframe>", Pattern.CASE_INSENSITIVE);
    	            value = scriptPattern.matcher(value).replaceAll("");
    	            // Remove any lonesome <script ...> tag
    	            scriptPattern = Pattern.compile("<iframe(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    	            value = scriptPattern.matcher(value).replaceAll("");
    	        }
    	        return value;
    	}


方案说明:
目前xssProject对注入代码要求是必须开始标签和结束标签(如<script></script>)正确匹配才能解析,否则报错;因此只能替换调xssProject换为自定义实现。
代码说明:
请将以上方法加入XssHttpServletRequestWrapper ,并替换同名方法
yjcyyl062c
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
java web xss_xssProjectjava web项目应用
weixin_28520495的博客
02-16 72
1.项目引入xssProtect-0.1.jar、antlr-3.0.1.jar、antlr-runtime-3.0.1.jar包2.封装requestpublic class XssHttpServletRequestWrapper extends HttpServletRequestWrapper{HttpServletRequest orgRequest = null;public XssH...
xssProject所需jar包
11-20
防止XSS攻击的开源Java组件
xssProject 所需的三个 jar 包
09-26
针对 XSS 攻击的解决方案,个人建议使用 xssProject 来解决这一问题。毕竟 xssProject 已经提供了很完善的过滤、处理方案,你可以通过研究他的代码来进行扩展,如果需要的话。 xssProject 所需的三个 jar 包。
java使用xssProject
YH的博客
04-16 1857
项目引入两个jar包: xssProtect-0.1.jar、antlr-runtime-4.7.jar(开源语法分析器) 步骤: 1.写一个Xss的Http的包装器。 2.写一个Filter。 3.在Web.xml配置该Filter到/* Xss的Http的包装器 package com.commons.utils; import java.io.StringR
xssProtect-0.1.jar
11-19
xssProtect-0.1.jar 谷歌开源代码工具 、 用于XSS攻击
mysql防止xss攻击_java 防止 XSS 攻击的常用方法总结
weixin_32597695的博客
01-28 298
在前面的一篇文章,讲到了java web应用程序防止 csrf 攻击的方法,参考这里java网页程序采用 spring 防止 csrf 攻击.,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释http://baike.baidu.com/view/2161269.htm, 但在实际的应用如何去防止这种攻击呢,...
java的xxsProtect过滤xss
05-19
java过滤xss工具,xxsProtect. 根目录XSS/bin文件夹下有所有的jar包. 根目录XSS/com/start.java文件是例子. 过滤字符串至少要有html显示标签.
防止XSS攻击xssProtect用到的jar包(antlr-3.0.1,antlr-runtime-3.0.1,xssProtect-0.1)
03-02
防止XSS攻击xssProtect用到的jar包(antlr-3.0.1,antlr-runtime-3.0.1,xssProtect-0.1)
防止XSS攻击xssProtect
11-03
防止XSS攻击的开源Java的三个jar包antlr-3.0.1.jar、antlr-runtime-3.0.1.jar、xssProtect-0.1.jar
Java防止xss攻击jar包
03-29
Java防止xss攻击依赖jar包
JAVA防止XSS注入,附jar包
05-19
防止xss注入,有antlr-runtime和xssProtect两个jar包,及相关的filter过滤器。
Java实战开发》XSS 攻击问题简介及解决,附xssProtect-0.1.jar、antlr-3.0.1.jar、antlr-runtime-3.0.1.jar 包下载
crazy王的学习
11-19 3070
最近测试发现开发的管理系统存在XSS攻击问题,查找了下资料 简介 以下内容来自维基百科:https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的...
java怎么设置 x-xss-protection_JAVA程序猿萌新起步
weixin_33547353的博客
11-30 1196
现在JAVA很火,需求量大,就业也很容易,如果技术过硬的话月薪上万也是可以的。由于我是朝8晚5的工作压力也不是很大,所以最近准备学习下JAVA。当然不是为了跳槽,只是想拓宽下知识面,提高自我价值。既然要学习JAVA,那么编程环境总是要有的。目前的常见的就是安装JDK+eclipse。今天主要来分享下怎么搭建JDK环境吧。1.下载安装包JDK网上有很多免费的安装包,根据自己电脑配置看是下载32位的还...
xssprotect防止XSS攻击源码
08-27
javaweb用过滤器,用装饰设计模式对request重新包装后对前台传到后台参数进行过滤,xssprotect防止XSS攻击
xssProtect-0.1.zip
04-02
谷歌开源代码工具 , 用于XSS攻击 包括测试用例及jar包 A Java library for filtering XSS attacks from user input fields
java的jsoup
12-29
项目文件夹下jsoup/src/com/start.java是用jsoup过滤xss的例子 src下有jar包
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值