2. 程式人生 > >Struts2修復xss攻擊

Struts2修復xss攻擊

阿新 發佈:2018-03-07
struts2 Xss攻擊預防

概述

struts版本:2.3.4.1
tomcat版本:6

第一種修復方法

參考文章:https://yq.aliyun.com/articles/7126 (不過安全按照該方法無法修復,只能參考思路)

  1. 重寫StrutsPrepareAndExecuteFilter,註冊自定義Dispatcher

    public class MStrutsPrepareAndExecuteFilter extends
    StrutsPrepareAndExecuteFilter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
    InitOperations init = new InitOperations();
    try {
        FilterHostConfig config = new FilterHostConfig(filterConfig);
        init.initLogging(config);
        Dispatcher dispatcher = initDispatcher(config);
        init.initStaticContentLoader(config, dispatcher);

        prepare = new PrepareOperations(filterConfig.getServletContext(), dispatcher);
        execute = new ExecuteOperations(filterConfig.getServletContext(), dispatcher);
        this.excludedPatterns = init.buildExcludedPatternsList(dispatcher);

        postInit(dispatcher, filterConfig);
    } finally {
        init.cleanup();
    }

}
/**
 * Creates and initializes the dispatcher
 */
public Dispatcher initDispatcher( HostConfig filterConfig ) {
    Dispatcher dispatcher = createDispatcher(filterConfig);
    dispatcher.init();
    return dispatcher;
}
/**
 * Create a {@link Dispatcher}
 */
private Dispatcher createDispatcher(HostConfig filterConfig) {
    Map<String, String> params = new HashMap<String, String>();
    for (Iterator e = filterConfig.getInitParameterNames(); e.hasNext();) {
        String name = (String) e.next();
        String value = filterConfig.getInitParameter(name);
        params.put(name, value);
    }
    return new MDispatcher(filterConfig.getServletContext(), params);
}
  2. 寫自定義Dispatcher,繼承Dispatcher,重寫createContextMap方法,將 Map params = new HashMap(request.getParameterMap());改行修改為 Map params = new HashMap(new ParamFormatWarp(request).getParameterMap());

  3. ParamFormatWarp類參考如下

    public class ParamFormatWarp extends HttpServletRequestWrapper {

public ParamFormatWarp(HttpServletRequest request) {
    super(request);
}

private String clearXss(String value) {
    if (value == null || "".equals(value)) {
        return value;
    }
    value = stripXSSAndSql(value);
    return value;
}
/** 
 *  
 * 防止xss跨腳本攻擊(替換,根據實際情況調整) 
 */  

public  String stripXSSAndSql(String value) {  
    if (value != null) {  
        Pattern scriptPattern = Pattern.compile("<[\r\n| | ]*script[\r\n| | ]*>(.*?)</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);  
        value = scriptPattern.matcher(value).replaceAll("");  

    }  
    return value;  
}  
@Override
public Map getParameterMap() {  
    HashMap paramMap = (HashMap) super.getParameterMap();  
    paramMap = (HashMap) paramMap.clone();  
    for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext(); ) {  
        Map.Entry  entry = (Map.Entry ) iterator.next();  
        String [] values =(String[])entry.getValue();  
        for (int i = 0; i < values.length; i++) {  
            if(values[i] instanceof String){  
                values[i] = clearXss(values[i]);  
            }  
        }  
        entry.setValue(values);  
    }  
    return paramMap;  
}  
}

    上面這種修改方法有可能在其他應用服務器下有問題,如http://zydky.iteye.com/blog/558973 ,我未測試,如有問題可按照如下方式過濾getParameterMap獲取的map http://blog.csdn.net/aeroleo/article/details/52204789

第二種方法

參照:http://blog.csdn.net/huplion/article/details/49001151 和
http://blog.csdn.net/huplion/article/details/49000309 一定要兩個鏈接一起看,否則不起作用,另外有一處代碼記得按照如下修改:

Map<String, Object> map = inaction.getParameters();
        for (Map.Entry<String, Object> entry : map.entrySet()) {
            String[] values = ((String[]) (entry.getValue()));
            for (int i = 0; i < values.length; i++) {
                values[i]=XssUtil.clearXss(values[i]);
            }
            entry.setValue(values);
        }

為什麽存在values[[],有可能請求的鏈接是url?t=1&t=2&t=3

Struts2修復xss攻擊

相關推薦

Struts2修復xss攻擊

struts2 Xss攻擊預防概述 struts版本:2.3.4.1tomcat版本:6 第一種修復方法 參考文章:https://yq.aliyun.com/articles/7126 (不過安全按照該方法無法修復,只能參考思路) 重寫StrutsPrepareAndExecuteFilter,註冊自

Struts2.3 以及 2.5 過濾 xss攻擊 的一種解決方案

Struts 2.3 本方案採用struts2的攔截器過濾,將提交上來的引數轉碼來解決。 配置struts.xml <package name="default" namespace="

Struts2 Xss 攻擊預防的處理

關於XSS問題的處理,此前在部落格 http://blog.csdn.net/catoop/article/details/50338259 中寫過處理方法。剛好最近朋友有問到“在Struts2中按文章中那樣處理無效”,後來驗證了下發現,Struts2 對請求的二次封裝有所不同,於是針對Struts2如

關於xss攻擊

訪問者 登錄 pan 文章 數據 參數 innerhtml 興趣 成功 關於xss攻擊 網上相關的介紹很多,一搜索也是一大堆,這裏我就對自己感興趣的一些內容做個總結。 成因:xss是將惡意代碼(多是JavaScript)插入html代碼中。 分類: 1、 反射型 2

xss攻擊與防禦

font 引號 span java 額外 有意義 tab 有意 script 除了在引號中分割單詞和強制結束語句外,額外的空格沒有意義。 >>>>>>java script : alert 同理 換行符/tab

XSS攻擊

aid splay post including itl ati lease one doc XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往web頁面裏插入惡意的html代碼,當用戶瀏覽該頁之時,嵌入其中web裏面的html

開啟CSP網頁安全政策防止XSS攻擊

使用 interval party tex cnblogs png 內嵌腳本 target span 一、簡介   CSP是網頁安全政策(Content Security Policy)的縮寫。是一種由開發者定義的安全性政策申明,通過CSP所約束的責任指定可信的內容來源,

特殊字符的過濾,防止xss攻擊

factor change 源碼 ive ride ray react list css 概念 XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應用中的計算

linux中redis的安裝配置,後門漏洞修復及其攻擊方法整合

conf eid member 策略 ron 分享 正數 二進制 我想 Linux上redis安裝: 需先在服務器上安裝yum(虛擬機可使用掛載的方式安裝) 安裝配置所需要的環境運行指令: yum -y install gcc 進入解壓文件執行make 指令進行編譯 執

XSS攻擊過程

spa com avi 訪問 表單 腳本 htm 網站服務 ast 大多數人對於XSS的原理有一個基本認識,這裏不再重復,只給出一個能夠演示其原理的完整樣例。 1 角色分配 有XXS漏洞的網站,IP地址http://127.0.0.1/dvwa/DVWA-master,P

java 防止xss攻擊

urn .cn lee lan 轉義 chain archive quest itl http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 這裏說下最近項目中我們的解決方案,

XSS攻擊原理以及防護

nbsp mage site 返回 cors ges 跨站腳本攻擊 流程圖 發送請求 XSS:跨站腳本攻擊(corss site scripting)的危害:可以盜取各類用戶的賬號,如用戶網銀賬號、各類管理員賬號 盜取企業重要具有商業價值的資料,非法轉賬,控制受害者機器向其

CodeIgniter 防止XSS攻擊

rip file input 默認 嘗試 應該 而是 data scrip CodeIgniter 包含了跨站腳本攻擊的防禦機制,它可以自動地對所有POST以及COOKIE數據進行過濾,或者您也可以針對單個項目來運行它。默認情況下,它 不會 全局運行,因為這樣也需要一些執行

web 安全問題(二):XSS攻擊

class http amp 輸入 img xss攻擊 site lov 防禦 上文說完了CSRF攻擊,本文繼續研究它的兄弟XSS攻擊。 什麽是XSS攻擊 XSS攻擊的原理 XSS攻擊的方法 XSS攻擊防禦的手段 什麽是XSS攻擊 XSS攻擊全名(Cross-Site-Sc

mysql-防止XSS攻擊

xss攻擊 style -s 查詢 cut 參數化查詢 pre mysql 數據庫 1,防止Xss攻擊 數據庫查詢數據操作,為了防止註入,要執行參數化查詢,也就是直接利用execute直接進行sql語句的執行, 因為exexute本身就有接收語句變量的參數位, exe

Django XSS攻擊

導入 代碼植入 頁面 article zed esc 現在 escape ofo 一、什麽是XSS攻擊 XSS即跨站腳本攻擊,XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。 xss攻擊允許用戶註入客戶端腳本到

微軟AntiXSS防止xss攻擊類庫

輸入 添加 lan 轉義 visual class cin java 最新 AntiXSS,由微軟推出的用於防止XSS攻擊的一個類庫,可實現輸入白名單機制和輸出轉義。 AntiXSS最新版的下載地址:http://wpl.codeplex.com 下載安裝

淺談xss攻擊原理與解決方法

ntb name 出現 AD 提交 參數傳遞 anti val 什麽 概述 XSS攻擊是Web攻擊中最常見的攻擊方法之一,它是通過對網頁註入可執行代碼且成功地被瀏覽器 執行,達到攻擊的目的,形成了一次有效XSS攻擊,一旦攻擊成功,它可以獲取用戶的聯系人列表,然後向聯系人發送

變量安全過濾,防止xss攻擊

轉義 javascrip dai post ash time return 空格 去除 下面這個方法不管是字符串還是數組,都可以進行過濾 /** * @purpose : 對變量進行安全過濾,使 $_GET、$_POST、$q->record 等變量更安全

XSS攻擊(出現的原因、預防措施......)

上傳 實體 ont bug google 驗證方式 nbsp Go 彈框 驗證XSS攻擊重點不是去查找可輸入哪些內容會出現什麽樣的bug就是測試XSS攻擊,重點是了解它出現的原理,為什麽會出現XSS攻擊,導致一些問題出現?如何防禦與解決XSS攻擊?以下我將簡單