2. 程式人生 > >XSS漏洞修補及預防--使用過濾器

XSS漏洞修補及預防--使用過濾器

阿新 發佈:2019-01-02

什麼是XSS攻擊 :
XSS是一種經常出現在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。比如這些程式碼包括HTML程式碼和客戶端指令碼。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種型別的漏洞由於被黑客用來編寫危害性更大的網路釣魚(Phishing)攻擊而變得廣為人知。對於跨站指令碼攻擊,黑客界共識是:跨站指令碼攻擊是新型的“緩衝區溢位攻擊“,而JavaScript是新型的“ShellCode”。

如下程式碼不涉及對原有開發人員的程式碼,進行修改。在最外層增加過濾器,進行對所有引數進行過濾,涉及框架SpringMVC
1.建立過濾器類,使其實現Filter。

package com.data.interceptor;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * 
 * @Title
 
: XSSFilter.java
 * @Package: com.data.interceptor
 * @author you.xu
 * @date 2016年3月4日上午11:21:47
 * @version 1.0
 */
public class XSSFilter implements Filter {

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    public void doFilter(ServletRequest req, ServletResponse res,
            FilterChain filterChain) throws
 
 IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        request = new XSSServletRequest(request);
        filterChain.doFilter(request, res);
    }

    public void destroy() {

    }

}

2.建立XSSServletRequest.java類,將request請求進行過濾。

package com.data.interceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import com.data.utils.XssFilterUtil;

/**
 * 
 * @Title: XSSServletRequest.java
 * @Package: com.data.interceptor
 * @author you.xu
 * @date 2016年3月4日上午11:25:02
 * @version 1.0
 */
public class XSSServletRequest extends HttpServletRequestWrapper {

    public XSSServletRequest(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String string = super.getParameter(name);
        // 返回值之前 先進行過濾
        return XssFilterUtil.stripXss(string);
    }

    @Override
    public String[] getParameterValues(String name) {
        // 返回值之前 先進行過濾
        String[] values = super
                .getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                values[i] = XssFilterUtil.stripXss(values[i]);
            }
        }
        return values;
    }
}

3.建立過濾器工具類XssFilterUtil.java,

package com.data.utils;

import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import org.apache.commons.lang.StringUtils;

/**
 * 
 * @Title: XssFilterUtil.java
 * @author you.xu
 * @date 2016年3月4日上午9:52:02
 * @version 1.0
 */

public class XssFilterUtil {

    private static List<Pattern> patterns = null;

    private static List<Object[]> getXssPatternList() {
        List<Object[]> ret = new ArrayList<Object[]>();

        ret.add(new Object[] { "<(no)?script[^>]*>.*?</(no)?script>",
                Pattern.CASE_INSENSITIVE });
        ret.add(new Object[] { "eval\\((.*?)\\)",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] { "expression\\((.*?)\\)",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] { "(javascript:|vbscript:|view-source:)*",
                Pattern.CASE_INSENSITIVE });
        ret.add(new Object[] { "<(\"[^\"]*\"|\'[^\']*\'|[^\'\">])*>",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] {
                "(window\\.location|window\\.|\\.location|document\\.cookie|document\\.|alert\\(.*?\\)|window\\.open\\()*",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] {
                "<+\\s*\\w*\\s*(oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|onerror=|onerroupdate|onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onload|onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload)+\\s*=+",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        return ret;
    }

    private static List<Pattern> getPatterns() {

        if (patterns == null) {

            List<Pattern> list = new ArrayList<Pattern>();

            String regex = null;
            Integer flag = null;
            int arrLength = 0;

            for (Object[] arr : getXssPatternList()) {
                arrLength = arr.length;
                for (int i = 0; i < arrLength; i++) {
                    regex = (String) arr[0];
                    flag = (Integer) arr[1];
                    list.add(Pattern.compile(regex, flag));
                }
            }

            patterns = list;
        }

        return patterns;
    }

    public static String stripXss(String value) {

        if (null == value) {
            return value;
        }
        if (StringUtils.isNotBlank(value)) {

            Matcher matcher = null;

            for (Pattern pattern : getPatterns()) {
                matcher = pattern.matcher(value);
                // 匹配
                if (matcher.find()) {
                    // 刪除相關字串
                    value = matcher.replaceAll("");
                }
            }
            value = StringFilter.StringFilter(value);
        }
        // 預防SQL盲注
        String[] pattern = { "%", "select", "insert", "delete", "from",
                "count\\(", "drop table", "update", "truncate", "asc\\(",
                "mid\\(", "char\\(", "xp_cmdshell", "exec", "master",
                "netlocalgroup administrators", "net user", "or", "and" };
        for (int i = 0; i < pattern.length; i++) {
            value = value.replace(pattern[i].toString(), "");
        }
        return value;
    }

    public static void main(String[] args) {

        String value = null;
        value = XssFilterUtil
                .stripXss("<br>select  ***//||&;/*-+ <>$###@%$#@$%^#$^%$&^(&*)*\\''count or %% ..... ,,,, ");
        System.out.println("type-1: '" + value + "'");

        value = XssFilterUtil
                .stripXss("<script src='' onerror='alert(document.cookie)'></script>");
        System.out.println("type-2: '" + value + "'");

        value = XssFilterUtil.stripXss("</script>");
        System.out.println("type-3: '" + value + "'");

        value = XssFilterUtil.stripXss(" eval(abc);");
        System.out.println("type-4: '" + value + "'");

        value = XssFilterUtil.stripXss(" expression(abc);");
        System.out.println("type-5: '" + value + "'");

        value = XssFilterUtil
                .stripXss("<img src='' onerror='alert(document.cookie);'></img>");
        System.out.println("type-6: '" + value + "'");

        value = XssFilterUtil
                .stripXss("<img src='' onerror='alert(document.cookie);'/>");
        System.out.println("type-7: '" + value + "'");

        value = XssFilterUtil
                .stripXss("<img src='' onerror='alert(document.cookie);'>");
        System.out.println("type-8: '" + value + "'");

        value = XssFilterUtil
                .stripXss("<script language=text/javascript>alert(document.cookie);");
        System.out.println("type-9: '" + value + "'");

        value = XssFilterUtil.stripXss("<script>window.location='url'");
        System.out.println("type-10: '" + value + "'");

        value = XssFilterUtil.stripXss(" onload='alert(\"abc\");");
        System.out.println("type-11: '" + value + "'");

        value = XssFilterUtil.stripXss("<img src=x<!--'<\"-->>");
        System.out.println("type-12: '" + value + "'");

        value = XssFilterUtil.stripXss("<=img onstop=");
        System.out.println("type-13: '" + value + "'");
    }
}

4.配置web.xml

<filter>
    <filter-name>XSSFilter</filter-name>
    <filter-class>com.data.interceptor.XSSFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XSSFilter</filter-name>
    <url-pattern>*.do</url-pattern>
</filter-mapping>

本文對其增加了預防SQL盲注漏洞,將字串中涉及到的與sql相關的關鍵字進行了過濾。

我是一個小菜鳥,大家如有更簡單高效的程式碼,歡迎在評論中指出,一起分享。謝謝

相關推薦

XSS漏洞修補預防--使用過濾器

什麼是XSS攻擊 : XSS是一種經常出現在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。比如這些程式碼包括HTML程式碼和客戶端指令碼。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin

XSS 漏洞原理防禦方法

正則表達 內容 規則 分享 保存 名單 nbsp 只需要 服務 XSS跨站腳本攻擊:兩種情況。一種通過外部輸入然後直接在瀏覽器端觸發,即反射型XSS;還有一種則是先把利用代碼保存在數據庫或文件中,當web程序讀取利用代碼並輸出在頁面上時觸發漏洞,即存儲型XSS。 危害:前端

跨站指令碼攻擊(XSS漏洞原理防禦方法

注:轉載請註明出自:https://blog.csdn.net/qq_36711453/article/details/83745195 XSS跨站指令碼攻擊:兩種情況。一種通過外部輸入然後直接在瀏覽器端觸發,即反射型XSS;還有一種則是先把利用程式碼儲存在資料庫或檔案中,當web程式讀取利用程

Java Web使用過濾器防止Xss攻擊,解決Xss漏洞

web.xml新增過濾器 <!-- 解決xss漏洞 --> <filter> <filter-name>xssFilter</filter-nam

XSS 和 CSRF簡述預防措施

在 Web 安全領域中,XSS 和 CSRF 是最常見的攻擊方式。本文將會簡單介紹 XSS 和 CSRF 的攻防問題。 1. xss XSS,即 Cross Site Script,中譯是跨站指令碼攻擊;其原本縮寫是 CSS,但為了和層疊樣式表(Cascading S

網站XSS漏洞攻擊如何修補

因為兄弟我是在國內某知名安全公司旗下的一家電商網站上班,所以不可避免的就經常被安全部門“照顧”了,公司郵箱裡經常會收到漏洞攻擊的郵件,很佩服那些能找到這些漏洞的人,但是佩服歸佩服,漏洞總得給補上吧,下面我介紹常用的xss攻擊漏洞該如何修補。 首先你得現在we

Web攻擊手段--XSS攻擊預防策略

XSS(Cross Site Scripting)攻擊的全稱是跨站指令碼攻擊,跨站指令碼攻擊的方式是惡意攻擊者在網頁中嵌入惡意指令碼程式,當用戶開啟網頁的時候指令碼程式便在客戶端執行,盜取客戶的cookie及使用者名稱和密碼,下載執行病毒及木馬程式,甚至獲得客戶端的admi

關於XSS漏洞的簡介以及分類

信任 基本 嵌入 contex html arch 思想 描述 .com 不得不說註入的時代已經過去了,最近xss貌似比較熱門。我就去惡補了一下,我表示我只是菜鳥,對xss不了解。所以從最基本的學起。 什麽xss漏洞? 一、XSS攻擊簡介 作為一種HTM

獸哥出品---->XSS漏洞的原理與剖析

xss原理 xss攻擊 xss原理與剖析 xss Xss(跨站腳本攻擊) 今天 獸哥又給大家帶來一份幹貨,關於xss漏洞問題 Xss是一種基於html屬性的攻擊 這是一種比較簡單的方法 然而現在存在xss漏洞已經很少了 但是..註意 這裏我用到了但是

Microsoft Edge 瀏覽器遠程代碼執行漏洞POC細節(CVE-2017-8641)

ive buffer png serer virt pil binding nproc mil 2017年8月8日,CVE官網公布了CVE-2017-8641,在其網上的描述為: 意思是說,黑客可以通過在網頁中嵌入惡意構造的javascript代碼,使得微軟的瀏覽器(如E

我是如何黑盒測試XSS漏洞的?

flash loading target http 小寫 tdi ebs 可能 發展 在挖掘SRC中,很多人挖洞都是挖掘的XSS漏洞,隨著Web安全的普及,人類越來越註重自身網站的安全。 來一篇簡單的黑盒測試XSS漏洞的一點方法和個人的一些見解 一般測試XSS漏洞,一般

Vivotek 攝像頭遠程棧溢出漏洞分析利用

-418 環境搭建 目標 bin 無法 查看 攝像 遠程調試 鏡像 Vivotek 攝像頭遠程棧溢出漏洞分析及利用 近日,Vivotek 旗下多款攝像頭被曝出遠程未授權棧溢出漏洞,攻擊者發送特定數據可導致攝像頭進程崩潰。 漏洞作者@bashis 放出了可造成攝像頭 Cras

問題-windows下的文本文檔在linux下查看時開頭多了兩個字符的解決辦法預防辦法

image bom code size 正常 watermark 查看 color sql 問題說明 sql的insert語句,在windows上傳到服務器上,使用heat命令查看時發現文件的開頭多了兩個字符,使用vim編輯時正常; 解決辦法: dos2unix filen

一次簡單的xss漏洞分析

一個 自己 png 基本上 轉義 分享 對話框 class mage 起因,經過掃描,發現了一個反射型xss的漏洞: 那麽,我想,既然存在xss漏洞。如果沒有防火墻肯定是直接就利用了,直接插入<img src=x onerror=alert(0)>: 可以看

ref:PHP反序列化漏洞成因漏洞挖掘技巧與案例

tmp 問題 文章 extend === 代碼 簡單的 ted IE ref:https://www.anquanke.com/post/id/84922 PHP反序列化漏洞成因及漏洞挖掘技巧與案例 一、序列化和反序列化 序列化和反序列化的目的是使得程序間傳輸對象會更加方

web網站漏洞掃描防禦思維導圖

防禦 51cto 思維 text term RoCE 漏洞掃描 http web web網站漏洞掃描及防禦思維導圖

MS12-020漏洞復現自動化批量利用

.com 端口 cidr odi ref class create 藍屏 can 漏洞描述 Windows 遠程桌面協議漏洞,可執行代碼,POC可導致藍屏。(RDP遠程桌面執行代碼漏洞) 影響目標 Windows XP sp3 Windows xp sp2 Windows

XSS漏洞的原理

簡介 xss表示Cross Site Scripting(跨站指令碼攻擊),它與SQL注入攻擊類似,SQL注入攻擊中以SQL語句作為使用者輸入,從而達到查詢/修改/刪除資料的目的,而在xss攻擊中,通過插入惡意指令碼,實現對使用者遊覽器的控制。 攻擊者往Web頁面裡插入惡意htm

CVE-2015-1805漏洞解析驗證

轉載自:https://www.anquanke.com/post/id/83682 0x0  漏洞資訊 影響所有Nexus手機和部分Android手機的漏洞,Google於2016/03/18釋出了公告修復,具體請看連結. http://www.cvedetails.com/cve

6.85億使用者可能因Branch.io服務XSS漏洞受影響

由於Tinder,Shopify,Yelp和許多其他人使用的服務Branch.io中存在漏洞,數以億計的使用者可能已經接觸到跨站點指令碼(XSS)攻擊。 vpnMentor的研究人員在分析Tinder和其他應用程式時,發現了一個Tinder域go.tinder.com,它有多個XSS漏洞。vpn