2. 程式人生 > >WEB安全實戰(三)XSS 攻擊的防禦

WEB安全實戰(三)XSS 攻擊的防禦

阿新 發佈:2019-02-07

  • 方案二
第二種方案也是藉助外力,主要是加入一個第三方的 jar 包,然後使用第三方元件給提供的 api,我們通過呼叫這些 api 可以避免 XSS 攻擊帶來的危險。具體步驟如下。 首先,新增第三方的元件包,commons-lang-2.5.jar,可以手動下載,也可以使用 maven 配置依賴,管理 jar,推薦使用後者。 然後,在後臺呼叫這些函式,StringEscapeUtils.escapeHtml(string);StringEscapeUtils.escapeJavaScript(string);StringEscapeUtils.escapeSql(string); 最後,在前臺的 js 呼叫 escape 即可。
  • 方案三
接下來,主要講一下第三種方案,因為在第三種方案中,我們要自己寫一個 Filter,使用 Filter 來過濾瀏覽器發出的請求。對每個 post 請求的引數過濾一些關鍵字,替換成安全的,例如:< > ' " \ / # & 。方法是實現一個自定義的 HttpServletRequestWrapper,然後在 Filter 裡面呼叫它,替換掉 getParameter 函式即可,具體步驟如下。 首先,在後臺新增一個 XssHttpServletRequestWrapper 類,程式碼如下。 
<span style="font-family:Comic Sans MS;">package com.sic.web.beans;

import java.util.Enumeration;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }
    public String[] getParameterValues(String parameter) {
      String[] values = super.getParameterValues(parameter);
      if (values==null)  {
                  return null;
          }
      int count = values.length;
      String[] encodedValues = new String[count];
      for (int i = 0; i < count; i++) {
                 encodedValues[i] = cleanXSS(values[i]);
       }
      return encodedValues;
    }
    public String getParameter(String parameter) {
          String value = super.getParameter(parameter);
          if (value == null) {
                 return null;
                  }
          return cleanXSS(value);
    }
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null)
            return null;
        return cleanXSS(value);
    }
    private String cleanXSS(String value) {
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

} </span>
然後,同樣在後臺新增一個過濾器 XssFilter,具體程式碼如下。 
<span style="font-family:Comic Sans MS;">package com.sic.web.beans;

import java.io.IOException;  

import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;

public class XssFilter implements Filter {
    FilterConfig filterConfig = null;

    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    public void destroy() {
        this.filterConfig = null;
    }

    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper(
                (HttpServletRequest) request), response);
    }
}</span>
最後,在 web.xml 裡面配置一下,所有請求的 getParameter 會被替換,如果引數裡面含有敏感詞會被替換掉。 
<span style="font-family:Comic Sans MS;"><filter>
     <filter-name>XssSqlFilter</filter-name>
     <filter-class>com.ibm.web.beans.XssFilter</filter-class>
</filter>
<filter-mapping>
     <filter-name>XssSqlFilter</filter-name>
     <url-pattern>/*</url-pattern>
     <dispatcher>REQUEST</dispatcher>
</filter-mapping></span>

到這裡,就基本完成了一個 XSS 攻擊防禦的隔離層。每一次請求中的危險字元、敏感資訊都會被過濾掉,當然,如果你需要過濾的字元有很多,你還可以在 cleanXSS 方法中補充,直到你滿意為止。當然,需要注意的是,一些必要的字元不能被過濾,否則就改變了使用者的真實資料。

一個例項

下面提供了一個登入頁面的攻擊例項,你可以通過下面的方式進行簡單的測試,看看你的網站是否有這樣的問題,當然,這只是最簡單的,那些測試工具肯定要比這樣的例子專業的多。很多隱藏的漏洞都能夠被測試出來。 假設登入頁面有個輸入使用者名稱和密碼的輸入框,可以有很多 XSS / CSRF / 注入釣魚網站 / SQL注入等的攻擊手段,例如: 
<span style="font-family:Comic Sans MS;">輸入使用者名稱 : >"'><script>alert(1779)</script>
輸入使用者名稱: usera>"'><img src="javascript:alert(23664)">
輸入使用者名稱: "'><IMG SRC="/WF_XSRF.html--end_hig--begin_highlight_tag--hlight_tag--">
輸入使用者名稱: usera'"><iframe src=http://demo.testfire.net--en--begin_highlight_tag--d_highlight_tag-->

密碼隨意輸入。</span>


相關推薦

WEB安全實戰XSS 攻擊防禦

方案二 第二種方案也是藉助外力,主要是加入一個第三方的 jar 包,然後使用第三方元件給提供的 api,我們通過呼叫這些 api 可以避免 XSS 攻擊帶來的危險。具體步驟如下。 首先,新增第三方的元件包,commons-lang-2.5.jar,可以手動下載,也可以使用 maven 配置依賴,管理 j

Web安全系列XSS 攻擊進階挖掘漏洞

前言 目前來說,XSS 的漏洞型別主要分為三類:反射型、儲存型、DOM型,在本篇文章當中會以permeate生態測試系統為例,分析網站功能,引導攻擊思路,幫助讀者能夠快速找出網站可能存在的漏洞。 反射型 XSS 挖掘 現在筆者需要進行手工XSS漏洞挖掘,在手工挖掘之前筆者需要先逛逛網站有哪些功能點,如下圖是

WEB安全實戰關於 Cookie

round url 主動 gin 加密 文章 日期 就會 dex 前言 這幾天中,一直再跟漏洞打交道,而在這些漏洞中,出現的最多的就是 Cookie 和 Session 了。這篇文章就簡單的介紹一些 Cookie 中最經常使用的四個屬性。也算是為興許的文章做一個

web 安全問題XSS攻擊

class http amp 輸入 img xss攻擊 site lov 防禦 上文說完了CSRF攻擊,本文繼續研究它的兄弟XSS攻擊。 什麽是XSS攻擊 XSS攻擊的原理 XSS攻擊的方法 XSS攻擊防禦的手段 什麽是XSS攻擊 XSS攻擊全名(Cross-Site-Sc

web安全系列XSS 攻擊基礎及原理

跨站指令碼攻擊(XSS)是客戶端指令碼安全的頭號大敵。本文章深入探討 XSS 攻擊原理,下一章(XSS 攻擊進階)將深入討論 XSS 進階攻擊方式。 本系列將持續更新。 XSS 簡介 XSS(Cross Site Script),全稱跨站指令碼攻擊,為了與 CSS(Cascading Style Sheet)

Web安全系列XSS 攻擊進階初探 XSS Payload

什麼是 XSS Payload 上一章我談到了 XSS 攻擊的幾種分類以及形成的攻擊的原理,並舉了一些淺顯的例子,接下來,我就闡述什麼叫做 XSS Payload 以及從攻擊者的角度來初探 XSS 攻擊的威力。 在黑客 XSS 攻擊成功之後,攻擊者能夠對使用者當前瀏覽的頁面植入各種惡意指令碼,通過惡意指令碼來

Web安全系列XSS防禦

簡介 XSS 的防禦很複雜,並不是一套防禦機制就能就解決的問題,它需要具體業務具體實現。 目前來說,流行的瀏覽器內都內建了一些 XSS 過濾器,但是這隻能防禦一部分常見的 XSS,而對於網站來說,也應該一直尋求優秀的解決方案,保護網站及使用者的安全,我將闡述一下網站在設計上該如何避免 XSS 的攻擊。 H

使用Eclipse + Maven 構建Java Web 項目

項目打包 img app ima jet col tty class con 使用Jetty Maven 插件和Tomcat Maven 插件 1. Jetty Maven 插件 pom配置如下 <build> <finalName>we

python機器學習實戰

方法 baidu classes getter 全部 ken array數組 app 產生 python機器學習實戰(三) 版權聲明:本文為博主原創文章,轉載請指明轉載地址 www.cnblogs.com/fydeblog/p/7277205.html 前言 這篇博客是

Vue2+VueRouter2+webpack 構建項目實戰:配置路由,運行頁面

margin not found sans product mage -a nod targe fig 制作.vue模板文件 通過前面的兩篇博文的學習,我們已經建立好了一個項目。問題是,我們還沒有開始制作頁面。下面,我們要來做頁面了。 我們還是利用 http://cno

小白學習安全測試——掃描工具-Nikto使用

sdn plugins 技術 use 開發 服務器 update 自動 網站目錄 掃描工具-Nikto #基於WEB的掃描工具,基本都支持兩種掃描模式。代理截斷模式,主動掃描模式 手動掃描:作為用戶操作發現頁面存在的問題,但可能會存在遺漏 自動掃描:基於字典,提高速度,但存

MySQL數據庫從入門到實戰

mysql操作 sql語句 增刪改查 第一部分:補充(1)前章補充:MySQL在啟動時:1、啟動後臺守護進程(mysqld),並生成工作線程(io 、w、 r)2、預分配內存結構供MySQL處理數據使用實例是什麽?MySQL的後臺進程+線程+預分配的內存結構。mysql數據庫管理系統:實例+數據組

Java Web開發總結 —— request接收表單提交中文參數亂碼問題

字符串 public servlet 參數 byte[] 解決 操作 get span 1、以POST方式提交表單中文參數的亂碼問題 <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"

Android項目實戰:實現第一次進入軟件的引導頁

spl cli rate gets -i let ride open rtm 原文:Android項目實戰(三):實現第一次進入軟件的引導頁最近做的APP接近尾聲了,就是些優化工作了, 我們都知道現在的APP都會有引導頁,就是安裝之後第一次打開才顯示的引導頁面(介紹這個軟

從零開始學 Web 之 BOMoffset,scroll,變速動畫函數

樣式 清理 java mar dde sof mov har width 大家好,這裏是「 從零開始學 Web 系列教程 」,並在下列地址同步更新...... github:https://github.com/Daotin/Web 微信公眾號:Web前端之巔 博客園:

從零開始學 Web 之 AjaxAjax 概述,快速上手

lan 技術分享 php 概述 由於 val asc logs 更新 大家好,這裏是「 從零開始學 Web 系列教程 」,並在下列地址同步更新...... github:https://github.com/Daotin/Web 微信公眾號:Web前端之巔 博客園:ht

從零開始學 Web 之 ES6ES6基礎語法一

arr 方法 foreach reac 公眾 存在 lock 數組名 回調函數 大家好,這裏是「 從零開始學 Web 系列教程 」,並在下列地址同步更新...... github:https://github.com/Daotin/Web 微信公眾號:Web前端之巔 博

Flask Web學習筆記

rom from 顯示 保存 template 情況下 htm sub submit 重定向和用戶會話 1.從Flask模塊中導入session,redirect,url_for from flask import Flask, render_template, ses

微服務分散式事務實戰SpringCloud註冊中心編寫和測試

SpringCloud註冊中心編寫和測試 (1)建立註冊中心工程 (2)新增jar包 pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLS

機器學習實戰樸素貝葉斯NBNaive Bayes

目錄 0. 前言 1. 條件概率 2. 樸素貝葉斯(Naive Bayes) 3. 樸素貝葉斯應用於文字分類 4. 實戰案例 4.1. 垃圾郵件分類案例 學習完機器學習實戰的樸素貝葉斯,簡單的做個筆記。文中