安科网

手写SpringBoot项目XSS攻击过滤器实现

csxiaoqiang

csxiaoqiang

2020-01-10

关注 关注

一、先来个简介

什么是XSS?

百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。

它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。

二、XSS分类

xss攻击可以分成两种类型:

1.非持久型攻击
2.持久型攻击

非持久型xss攻击:顾名思义,非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。

持久型xss攻击:持久型xss,会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。 

也可以分成三类:

反射型:经过后端,不经过数据库

存储型:经过后端,经过数据库

三、废话不多说直接上代码

先加pom文件加上依赖

<dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-text</artifactId>
            <version>1.4</version>
   </dependency>

1.首先是要写个过滤器的包装类,这也是实现XSS攻击过滤的核心代码。

package com.hrt.zxxc.fxspg.xss;

import com.alibaba.fastjson.JSON;
import org.apache.commons.lang3.StringUtils;
import org.apache.commons.text.StringEscapeUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.Map;

/**
 * @program: fxspg
 * @description: XSS过滤具体核心代码
 * @author: liumingyu
 * @date: 2020-01-10 14:28
 **/
public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {

    /**
     * @return
     * @Author liumingyu
     * @Description //TODO 构造函数,传入参数,执行超类
     * @Date 2020/1/10 2:29 下午
     * @Param [request]
     **/
    public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * @return java.lang.String
     * @Author liumingyu
     * @Description //TODO 重写getParameter方法 ,getParameter方法是直接通过request获得querystring类型的入参调用的方法
     * @Date 2020/1/10 2:31 下午
     * @Param [name]
     **/
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (!StringUtils.isEmpty(value)) {
            //调用Apache的工具类:StringEscapeUtils.escapeHtml4
            value = StringEscapeUtils.escapeHtml4(value);
        }
        return value;
    }

    /**
     * @return java.lang.String[]
     * @Author liumingyu
     * @Description //TODO 重写getParameterValues
     * @Date 2020/1/10 2:32 下午
     * @Param [name]
     **/
    @Override
    public String[] getParameterValues(String name) {
        String[] parameterValues = super.getParameterValues(name);
        if (parameterValues == null) {
            return null;
        }
        for (int i = 0; i < parameterValues.length; i++) {
            String value = parameterValues[i];
            //调用Apache的工具类:StringEscapeUtils.escapeHtml4
            parameterValues[i] = StringEscapeUtils.escapeHtml4(value);
        }
        return parameterValues;
    }

    @Override
    public String getHeader(String name) {
        return StringEscapeUtils.escapeHtml4(super.getHeader(name));
    }

    @Override
    public String getQueryString() {
        return StringEscapeUtils.escapeHtml4(super.getQueryString());
    }

    /**
     * @return javax.servlet.ServletInputStream
     * @Author liumingyu
     * @Description //TODO 过滤JSON数据中的XSS攻击
     * @Date 2020/1/10 4:58 下午
     * @Param []
     **/
    @Override
    public ServletInputStream getInputStream() throws IOException {
        //调用方法将流数据return为String
        String str = getRequestBody(super.getInputStream());
        //如果str为"",则返回0
        if ("".equals(str)) {
            return new ServletInputStream() {
                @Override
                public int read() throws IOException {
                    return 0;
                }

                @Override
                public boolean isFinished() {
                    return false;
                }

                @Override
                public boolean isReady() {
                    return false;
                }

                @Override
                public void setReadListener(ReadListener readListener) {

                }
            };
        }
        //将数据存放至map
        Map<String, Object> map = JSON.parseObject(str, Map.class);
        //声明个存放过滤后数据的hashMap
        Map<String, Object> resultMap = new HashMap<>(map.size());
        //开始遍历数据
        for (String key : map.keySet()) {
            Object val = map.get(key);
            //如果key=富文本字段名,就不去过滤
            if ("content".equals(key)) {
                //不过滤
                resultMap.put(key, val);
            } else {
                //不为富文本字段才会过滤
                if (map.get(key) instanceof String) {
                    //通过escapeHtml4去过滤
                    resultMap.put(key, StringEscapeUtils.escapeHtml4(val.toString()));
                } else {
                    //不过滤
                    resultMap.put(key, val);
                }
            }
        }
        str = JSON.toJSONString(resultMap);
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(str.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }

        };
    }

    /**
     * @return java.lang.String
     * @Author liumingyu
     * @Description //TODO 获取JSON数据
     * @Date 2020/1/10 4:58 下午
     * @Param [stream]
     **/
    private String getRequestBody(InputStream stream) {
        String line = "";
        StringBuilder body = new StringBuilder();
        int counter = 0;
        // 读取POST提交的数据内容
        BufferedReader reader = new BufferedReader(new InputStreamReader(stream, Charset.forName("UTF-8")));
        try {
            while ((line = reader.readLine()) != null) {
                //拼接读取到的数据
                body.append(line);
                counter++;
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
        if (body == null) {
            return "";
        }
        //最后返回数据
        return body.toString();
    }

}

2.看到这里你就已经完成了一半了加油!接下来的事情很简单写个过滤器就over 。

package com.hrt.zxxc.fxspg.xss;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Primary;
import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * @program: fxspg
 * @description: XSS过滤器
 * @author: liumingyu
 * @date: 2020-01-10 14:36
 **/

@WebFilter
@Component
public class XssFilter implements Filter {

    /**
     * @return void
     * @Author liumingyu
     * @Description //TODO 重写init
     * @Date 2020/1/10 2:38 下午
     * @Param [filterConfig]
     **/
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    /**
     * @return void
     * @Author liumingyu
     * @Description //TODO 重写doFilter,将请求进行xss过滤
     * @Date 2020/1/10 2:41 下午
     * @Param [servletRequest, servletResponse, filterChain]
     **/
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
                         FilterChain filterChain) throws IOException, ServletException {
        //获取请求数据
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        //获取请求的url路径
        String path = ((HttpServletRequest) servletRequest).getServletPath();
        //声明要被忽略请求的数组
        String[] exclusionsUrls = {".js", ".gif", ".jpg", ".png", ".css", ".ico"};
        //遍历忽略的请求数组,若该接口url为忽略的就调用原本的过滤器,不走xss过滤
        for (String str : exclusionsUrls) {
            if (path.contains(str)) {
                filterChain.doFilter(servletRequest, servletResponse);
                return;
            }
        }
        //将请求放入XSS请求包装器中,返回过滤后的值
        XssAndSqlHttpServletRequestWrapper xssRequestWrapper = new XssAndSqlHttpServletRequestWrapper(req);
        filterChain.doFilter(xssRequestWrapper, servletResponse);
    }

    @Override
    public void destroy() {

    }

}

注:上面的注释我都写得比较全了,不过多解释,so easy是不是!

xss

csxiaoqiang

csxiaoqiang

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

防XSS攻击过滤器

private const string strRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*

sswqycbailong 2020-07-28

xss防范小知识

在Web安全中,xss攻击绝对算是一种非常常见的攻击方式了,它能够窃取用户的隐私信息,比如cookie,也能够做一些非用户意图的操作来达到攻击目的。xss攻击是一种非法脚本的插入与执行攻击,全称为 cross site script ,即跨站脚本攻击。通常

csxiaoqiang 2020-07-26

xss.haozi.me 练习

先打算从比较方便的可以在线的练习开始,所以并没有用最常用的DVWA,而就直接用的在线的这个xss靶场开始。服务端仍然没有进行过滤,只是这次的输出并不是直接输出,而是加入在textarea中,所以现将其闭合在输出即可。对于<textarea>标签

码农成长记 2020-07-19

极致CMS两处漏洞复现/存储xss/文件上传Getshell

根据一路追踪发现目录A是网站目录的后台文件,后端文件审计没问题来看看前端文件tql代码审计发现是问题出现在前端文件article-list.html内的问题191行这里这里没有实体化编码导致的后台存储xss漏洞输出函数未经过滤没有实体化编码。{field:

layloge 2020-07-05

百度编辑器(ueditor)踩坑,图片转存无法使用

在使用 百度编辑器 的过程中碰到了一些问题,图片转存功能无法使用, 即便是疯狂地在官方 Demo、文档、论坛甚至是 GitHub 上也没找到理想的答案。问题描述默认情况下,从 Word 中复制的内容粘贴在编辑器时,图片不会自动上传保存,除非单独复制粘贴图片

layloge 2020-06-26

Web前端必备基础知识点分享

今天跟新手朋友们分享Web前端必备基础知识点,希望对你们有所帮助!一来可以提高后端处理的效率,二来可以提高后端数据的安全。后端不要动态sql语句,使用存储过程查询语句。限制用户访问数据库权限。后端如果出现异常的话,要使用自定义错误页,防止用户通过服务器默认

liangjielaoshi 2020-06-25

java 拦截器解决xss攻击

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者

csxiaoqiang 2020-06-16

XSS BOT编写

而它支持chrome webdriver、firefox webdirver、PhantomJS等,但是呢前2个就需要有桌面,而我们的docker环境是没有桌面的,所以就只能选择PhantomJS了。$sql = "SELECT password

某先生 2020-06-13

StringEscapeUtils的常用使用,防止SQL注入及XSS注入

StringBuffer sql = new StringBuffer("select key_sn,remark,create_date from tb_selogon_key where 1=1 "); if(!

ItBJLan 2020-06-11

了解 OWASP TOP 10

输入时将一些包含指令的数据发送给解析器,解释器当成命令执行。xss会执行攻击者在浏览器中执行的脚本,并劫持用户会话,破坏网站或用户重定向到恶意站点,使用xss还可以执行拒绝服务攻击。同时,使用这些组件会破坏应用程序防御,造成各种攻击产生严重的后果。

layloge 2020-06-07

XSS漏洞的基本原理

XSS,跨站脚本攻击。它指的是恶意攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当用户浏览该页之时,嵌入其中Web里面的恶意代码会被执行,从而对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。反射型XSS也被称为非持久性XSS,攻击

csxiaoqiang 2020-06-03

xss(跨站脚本攻击)

  xss造成的原因是因为对用户插入的数据没有进行过滤,导致用户可以上传一些非法数据,对服务器数据进行盗取。  xss的形成一定是伴随着输入和输出的。

sswqycbailong 2020-06-01

XSS Challenges 记录与反思

XSS Challenges是出自某位日本大佬之手,一共十九关。我没有完全记录下来,前八关基本上不怎么需要思考就能做出来的,方法也不止一种。第九关是利用UTF-7并且对ie版本号有要求也不具体操作了,网上有很多关于这个挑战的教程,想了解的可以多看看。也是需

layloge 2020-05-30

XSS跨站脚本攻击

XSS全称跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在

码农成长记 2020-05-28

C# 防XSS攻击 示例

字符串:<script></script><style>alert</style><h1>111</h1><h2>222</h2>drop delete <

qidu 2020-05-26

20175110 王礼博 Exp 9 Web安全基础

具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。与XSS攻击相比,CSRF攻击往往不大流行和难以

zhuangnet 2020-05-20

2019-2020-2 20175313 张黎仙《网络对抗技术》Exp 8 Web基础

掌握Web前端、Web后端相关语法基础以及编写出用户能登陆,登陆用户名密码保存在数据库中,登陆成功显示欢迎页面的代码。通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。跨站脚本攻击,为不和层叠样式

zhuangnet 2020-05-19

《白帽子讲Web安全》读后感(一)

就是对数据做等级划分,互联网安全的核心问题,是数据安全的问题。做资产等级划分的过程,需要与各个业务部门的负责人一一沟通,了解公司最重要的资产是什么,他们最看重的数据是什么。注意与“风险分析”区别。威胁分析就是把所有的威胁都找出来。浏览器的同源策略,限制了来

xiaoemo0 2020-05-16

CSRF跨站请求伪造与XSS跨域脚本攻击讨论

今天和朋友讨论网站安全问题,聊到了csrf和xss,刚开始对两者不是神明白,经过查阅与讨论,整理了如下资料,与大家分享.登录受信任网站A,并在本地生成Cookie。在不登出A的情况下,访问危险网站B。    <input type=‘hidden‘

码农成长记 2020-05-10

安全测试

例如在知道一个页面的绝对url地址后,该页面有个session变量叫login-in,如果login-in为False时访问该页面跳转到登录页面,为True可正常访问。由于请求都是真实的,但是请求量过大导致服务器崩溃。连接数量过大时会导致服务器资源崩溃。c

today0 2020-05-04
csxiaoqiang

csxiaoqiang

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号