csrf进行安全校验

最新推荐文章于 2024-04-23 12:35:36 发布
最新推荐文章于 2024-04-23 12:35:36 发布
阅读量739 收藏 1
点赞数
分类专栏: csrf spring boot server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlxls/article/details/107432925
版权
spring boot 同时被 3 个专栏收录
25 篇文章 2 订阅
订阅专栏
server
14 篇文章 1 订阅
订阅专栏
csrf
1 篇文章 0 订阅
订阅专栏

请移步我的这篇博客:

https://blog.csdn.net/zlxls/article/details/107432468

该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验

1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf

2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善

3,服务器白名单为单独的一个工具包,在文章最后给出

4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发

5,文章会分享出整个Filter文件包,包含四个java文件:

5.1,public class CrosXssFilter implements Filter

5.2,public class CrosXssFilterConfig implements WebMvcConfigurer

5.3,public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter

5.4,public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper

6,服务器白名单校验的java文件:

6.1,public class ServerWhiteListUtil

主要类:XssHttpServletRequestWrapper 文件

package com.fc.test.common.filter;
import com.fc.test.common.exception.LllegalStringExtension;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.util.StringUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

/**
 * 防止sql注入,xss攻击
 * 前端可以对输入信息做预处理,后端也可以做处理。
 * @author zlxls
 * @date 2020年05月18日
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private final Logger log = LoggerFactory.getLogger(getClass());
    //private static String key = "and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+";
    private static String key = "and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|or|>|<|eval|javascript:|script|union|</";
    private static Set<String> notAllowedKeyWords = new HashSet<String>(0);
    private static String replacedString="INVALID";
    static {
        String keyStr[] = key.split("\\|");
        for (String str : keyStr) {
            notAllowedKeyWords.add(str);
        }
    }
    private String currentUrl;

    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
        currentUrl = servletRequest.getRequestURI();
    }

    /**覆盖getParameter方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }
    @Override
    public Map<String, String[]> getParameterMap(){
        Map<String, String[]> values=super.getParameterMap();
        if (values == null) {
            return null;
        }
        Map<String, String[]> result=new HashMap<>();
        for(String key:values.keySet()){
            //System.out.println("这是getParameterMap的Key:"+key);
            //String encodedKey=cleanXSS(key);//这个是前端传来的键值,不建议进行cleanXSS
            String encodedKey=key;
            int count=values.get(key).length;
            String[] encodedValues = new String[count];
            for (int i = 0; i < count; i++){
                encodedValues[i]=cleanXSS(values.get(key)[i]);
            }
            result.put(encodedKey,encodedValues);
        }
        return result;
    }
    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    private String cleanXSS(String valueP) {
        // You'll need to remove the spaces from the html entities below
        /*String value = valueP.replaceAll("<", "&lt;");
        value = value.replaceAll("", "&gt;");
        //value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        //value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("", "");
        value = value.replaceAll("", "");
        value = value.replaceAll("", "");
        value = value.replaceAll("", "");*/
        return cleanSqlKeyWords(valueP);
    }

    private String cleanSqlKeyWords(String value) {
        if("password".equals(value)){
            return value;
        }
        String paramValue = value;
        for (String keyword : notAllowedKeyWords) {
            String v= value.toLowerCase();
            if(value.toLowerCase().indexOf(keyword)>=0){
            //if (v.length() > keyword.length() + 4 && (v.contains(" "+keyword)||v.contains(keyword+" ")||v.contains(" "+keyword+" "))) {
                //paramValue = StringUtils.replace(paramValue, keyword, replacedString);
                paramValue = "";
                log.error("sql注入:"+this.currentUrl + "已被过滤,因为参数中包含不允许sql的关键词(" + keyword+ ")"+";参数:"+value+";过滤后的参数:"+paramValue);
                throw new LllegalStringExtension();
            }
        }
        return paramValue;
    }

}

 

生命无须向死而生
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
聊聊前端安全CSRF
奇舞周刊
01-05 940
本文作者为奇舞团前端开发工程师一、什么是CSRFCSRF(Cross Site Request Forgery,跨站域请求伪造),通常缩写为 CSRFCSRF攻击是攻击者通过伪装成受信任用户向服务器发起各种请求,达到欺骗服务器接收并执行指令,造成的一系列危害的一种网络攻击方式。二、CSRF的原理原理流程图形化展示如上图所示,下面为原理流程释义:用户正常登录A网站,登录成功后,A网站将Cooki...
使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper...
安全认证中的CSRF
梁老师教你编程序
10-26 2080
正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。而,跨域转发,是没有这个过程的。这个图说明,在浏览器向服务端请求页面时,服务端将自己生成的token,返回给了浏览器,然后在发送post的时候,浏览器就带有了token。如果是,第三方网站跳转过去,就是直接操作的界面,就算是有了cookie,认证通过了,但是因为没有这个请求字段,所以操作是无法成功的。
浏览器页面安全-CSRF安全篇】
问白的博客
04-02 705
CSRF (Cross-site request forgery),又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的已登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事。目标站点存在漏洞用户要登录过目标站点黑客需要通过第三方站点发起攻击根据这三个必要的条件,介绍了如何避免CSRF。利用Cookie中的 SameSite 属性利用请求头中的Origin来判断请求的来源CSRF Token的方式。
渗透测试-一文了解csrf漏洞
最新发布
lza20001103的博客
04-23 1330
渗透测试-一文了解csrf漏洞
CSRF检测的两种方法
Later_future的博客
05-17 9357
CSRF检测的两种方法 方法1:CSRFTester-1.0 使用工具注意事项: run.bat中jdk的目录按当前电脑路径自行更改点击run.bat才可使用 关于浏览器进行代理问题须是HTTP的代理,在CSRFTester中才接收的到 功能略显不足,在部分测试页面中抓取的表单不能修改参数 这里使用metinfo5.3.1成功进行了工具的使用研究 1.登录metinfo5.3.1的后台创建test用户并使CSRFTester进行监听 2.停止监听,找到对应的请求进行参数修改这里创建了一个fu
漏洞篇(CSRF跨站请求伪造)
m0_58001548的博客
04-17 1604
CSRF(Cross-site request forgery,跨站请求伪造)也被称为 One Click Attack(单键攻击)或者 Session Riding,通常缩写为 CSRF 或者 XSRF。forgery [ˈfɔːdʒəri] 伪造;Riding [ˈraɪdɪŋ] 驾驭马匹;骑马。
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper...
命令执行+CSRF
06-11
- 对用户输入进行严格的校验和过滤,避免命令注入。 - 使用预编译语句或参数化查询来防范SQL注入。 - 对敏感操作使用CSRF Token,确保每个请求都带有随机且唯一的令牌,以验证请求的来源。 - 使用HTTP头部的Origin或...
django 取消csrf限制的实例
09-17
有些博客建议用它替代`CsrfViewMiddleware`,但这样做可能会导致CSRF保护失效,因为`CorsPostCsrfMiddleware`并不提供预期的CSRF校验功能。 为了使前端能够正确获取CSRF Token,你可以在登录成功后,通过JSON响应将...
10-CSRF的攻击与防御1
08-03
这种攻击通常涉及到用户隐私泄露和财产安全,例如修改个人信息、添加管理员权限、进行非法转账等。 CSRF的常见场景包括: 1. 修改个人数据:如修改账号密码、邮箱地址等。 2. 添加或删除操作:如在电商网站上添加...
CSRF漏洞检测与发现
weixin_39811856的博客
05-17 2653
1.首先明白什么是CSRF漏洞 跨站请求伪造,这里刚入门的同学肯定不明白是什么意思,其实重点在于请求伪造 简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 在CSRF的攻击场景中攻击者会伪造一个请求(这个请.
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
2201_75735270的博客
01-15 946
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
CSRF 漏洞验证
QYbkx974的博客
11-13 245
这次讲系统学习CSRF 漏洞方法二可以使用bp直接生成一个链接,比方法一要简单快捷,温馨提示不要随便点击陌生链接。
csrf验证机制
varyall的专栏
01-19 852
CSRF(跨站请求伪造) CSRF 英文全称为 Cross SIte Request Forgery CSRF 通常指恶意攻击者盗用用户的名义,发送恶意请求,严重泄露个人信息危害财产的安全 CSRF攻击示意图 解决CSRF攻击 使用csrf_token校验 1.客户端和浏览器向后端发送请求时,后端往往会在响应中的 cookie 设置 csrf_token 的值,可以使用请求钩子实现,...
详解入门安全测试最难懂的概念 —— CSRF
liwenxiang629的博客
12-19 713
对于刚刚入门安全的同学来说,csrf是最难理解的概念之一,本文会用最简单的方式对csrf进行讲解,包括csrf的定义,csrf典型的攻击流程以及如何对其进行防范,希望本文能够帮到大家!
07 - CSRF验证
m0_58250910的博客
09-07 176
..</form>
CSRF漏洞的判断和防御
记录学习,一起进步
12-08 260
CSRF漏洞的判断和防御学习记录
安全测试之CSRF漏洞
myh919的博客
05-06 494
综上所述,要防御CSRF攻击,需要综合考虑服务端和客户端两方面的防御策略,其中服务端的防御效果较好。常见的防御策略包括验证HTTP Referer字段、使用Token并进行验证、在HTTP头中自定义属性并验证以及客户端防御。
当前系统未对referer进行校验,存在csrf漏洞风险
07-14
您提到当前系统未对referer进行校验,这可能存在CSRF(Cross-Site Request Forgery)漏洞风险。CSRF攻击是一种利用受害者在已经登录的情况下,通过伪造请求来执行非法操作的攻击方式。为了防止CSRF攻击,您可以考虑...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

生命无须向死而生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值