安科网

java 拦截器解决xss攻击

csxiaoqiang

csxiaoqiang

2020-06-16

关注 关注

一、xss攻击

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

简单说就是说,通过在输入框输入一些js代码,如在账号密码输入框中输入

<video src=1 onerror=alert(/xss/)/>

或者

<script>alert("@@") </script>

这样点击提交的时候就会触发alert弹窗,分别弹出 xss  和 @@ 的内容,这里只是做个简单的演示,弹了个窗口,还能存储病毒下载地址到服务端,进入的时候自动下载,或者修改你的cookie啥的,这里感兴趣可以百度查查xss攻击。

二、如何防御

解决思路对用户提交表单的参数进行转移,如把< 转换为 &lt;  把 > 转换为 &rt;

java有很多的过滤工具类

<dependency>
      <groupId>commons-lang</groupId>
       <artifactId>commons-lang</artifactId>
        <version>2.6</version>
</dependency>

然后通过下面的代码即可过滤

StringEscapeUtils.escapeHtml(string);

底层也是将一切标签进行转移,达到js调用不生效的作用。

这里使用的是filter过请求进行拦截处理。

过滤的内容报过get请求的参数、对象, post形式body中的参数

1)添加xss过滤器

<!-- xss过滤器 -->
    <filter>
        <filter-name>XssgFilter</filter-name>
        <filter-class>com.train.web.filter.XssFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>XssgFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

这里过滤了所有的请求,其中XssFilter是我们自己过滤器

2)添加自己的过滤器,

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        XssHttpServletRequestWrapper req=new XssHttpServletRequestWrapper((HttpServletRequest)servletRequest);

        filterChain.doFilter(req,servletResponse);
    }

    @Override
    public void destroy() {

    }
}

3)定义自己的http包装类

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    boolean isUpData = false;//判断是否是上传 上传忽略
    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
        String contentType = servletRequest.getContentType ();
        if (null != contentType)
            isUpData =contentType.startsWith ("multipart");
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values==null)  {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }
    
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    /**
     * 获取request的属性时,做xss过滤
     */
    @Override
    public Object getAttribute(String name) {
        Object value = super.getAttribute(name);
        if (null != value && value instanceof String) {
            value = cleanXSS((String) value);
        }
        return value;
    }

    @Override
    public String getHeader(String name) {

        String value = super.getHeader(name);
        if (value == null)
            return null;
        return cleanXSS(value);
    }
    private  static  String cleanXSS(String value) {
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("%3C", "&lt;").replaceAll("%3E", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("%28", "&#40;").replaceAll("%29", "&#41;");
        value = value.replaceAll("‘", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\‘][\\s]*javascript:(.*)[\\\"\\\‘]", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }


    @Override
    public ServletInputStream getInputStream () throws IOException {
        if (isUpData){
            return super.getInputStream ();
        }else{

            final ByteArrayInputStream bais = new ByteArrayInputStream(inputHandlers(super.getInputStream ()).getBytes ());

            return new ServletInputStream() {

                @Override
                public int read() throws IOException {
                    return bais.read();
                }

                @Override
                public boolean isFinished() {
                    return false;
                }

                @Override
                public boolean isReady() {
                    return false;
                }

                @Override
                public void setReadListener(ReadListener readListener) { }
            };
        }

    }
    public   String inputHandlers(ServletInputStream servletInputStream){
        StringBuilder sb = new StringBuilder();
        BufferedReader reader = null;
        try {
            reader = new BufferedReader(new InputStreamReader (servletInputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (servletInputStream != null) {
                try {
                    servletInputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        return  cleanXSS(sb.toString ());
    }
}

但是这里有个问题,假如这里还有一些特殊的需求,有些html标签是希望在前端能显示的,前端通过一些已经防止了xss攻击的富文本控件输入信息,后台不希望将这些信息转义

三、添加一些额外的内容

1)希望能动态的开关

2)期待部分接口的接口的参数是能存在标签的

添加一个xss开关的控制类, 这里使用了配置中心

import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

@Component
public class XSSFilterConfigUtil {

    public static Boolean openXssProtect;

    public static Boolean getOpenXssProtect() {
        return openXssProtect == null ? false : openXssProtect;
    }

    @Value("${open.xss.protect}")
    public void setOpenXssProtect(Boolean openXssProtect) {
        XSSFilterConfigUtil.openXssProtect = openXssProtect;
    }

}

注意的是:

1. @Value无法为静态属性注入值,所以需要添加set方法为其注入值;

2. 工具类必须添加@Component或者@Service注解,否则@Value不起作用。

静态方法中注入了值以后,Filter中就可以直接使用了。

修改上面的http包装类,这里不对" 进行过滤,过滤的话,会把json的""个去除,使用@RequestBody没办法解析成为一个正常的对象

import com.alibaba.fastjson.JSONObject;
import com.train.service.impl.XSSFilterConfigUtil;
import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.Map;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

/**
 * 防护http处理
 * 1.过滤xss
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private static final Logger LOGGER = LoggerFactory.getLogger(XssHttpServletRequestWrapper.class);

    boolean isUpData = false;//判断是否是上传 上传忽略

    //不期待被过滤的的链接和字段(管理后台使用了富文本,希望有可编辑的内容)
    HashMap<String, String> doNotFilterURLAndParamMap = new HashMap<String, String>() {
        {
            put("/api/v2/group/manage", "description");
            put("/api/v1/sendNews", "content");

        }
    };



    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request The request to wrap
     * @throws IllegalArgumentException if the request is null
     */
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        String contentType = request.getContentType ();
        if (null != contentType)
            isUpData =contentType.startsWith ("multipart");
    }

    /**
     * 过滤单个参数
     * @param name
     * @return
     */
    @Override
    public String getParameter(String name) {
        String parameter = super.getParameter(name);
        if(StringUtils.isNotBlank(parameter) && XSSFilterConfigUtil.getOpenXssProtect()){
                //这里使用的阿帕奇的common-lang3中的转义html方法,也可以自己实现,
            String escapeParameter = this.cleanXSS(parameter);
            return escapeParameter;
        }
        return parameter;
    }

    /**
     * 过滤实体的每个参数
     * @param name
     * @return
     */
    @Override
    public String[] getParameterValues(String name) {

        String[] parameterValues = super.getParameterValues(name);
        if (parameterValues == null) {
            return null;
        }
        if (XSSFilterConfigUtil.getOpenXssProtect()) {
            for (int i = 0; i < parameterValues.length; ++i) {
                String value = parameterValues[i];
                parameterValues[i] = this.cleanXSS(value);
            }
        }

        return parameterValues;

    }

    /**
     * 处理@RequestBody的形式传入的json数据
     * @return
     * @throws IOException
     */
    @Override
    public ServletInputStream getInputStream () throws IOException {
        if(!XSSFilterConfigUtil.getOpenXssProtect()) {
            return super.getInputStream ();
        }

        if (isUpData){
            return super.getInputStream ();
        }else{

            final ByteArrayInputStream bais = new ByteArrayInputStream(inputHandlers(super.getInputStream ()).getBytes ());

            return new ServletInputStream() {

                @Override
                public int read() throws IOException {
                    return bais.read();
                }
            };
        }

    }


    public String inputHandlers(ServletInputStream servletInputStream){
        StringBuilder sb = new StringBuilder();
        BufferedReader reader = null;
        try {
            reader = new BufferedReader(new InputStreamReader(servletInputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (servletInputStream != null) {
                try {
                    servletInputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }

        String requestUrl = StringUtils.replaceOnce(this.getRequestURI(), this.getContextPath(), StringUtils.EMPTY);
        boolean needFilter = false;
        String key = "";
        String param = "";
        for(Map.Entry<String, String> entry : doNotFilterURLAndParamMap.entrySet()){

            key = entry.getKey();

            int index = StringUtils.indexOf(key, "*");
            if (index > 0) {
                String[] array = key.split("\\*");
                StringBuffer stringBuffer = new StringBuffer();
                for (String s : array) {
                    stringBuffer.append(s).append("(.*)");
                }
                Pattern p = Pattern.compile(stringBuffer.toString());
                Matcher m = p.matcher(requestUrl);
                if (m.find()) {
                    needFilter = true;
                    param = entry.getValue();
                    break;
                }
            } else {
                if (requestUrl.equals(key)) {
                    needFilter = true;
                    param = entry.getValue();
                    break;
                }
            }
        }


        if(needFilter) {   //有需要特殊处理的字段,不希望过滤标签
            try {
                /*String param = doNotFilterURLAndParamMap.get(requestUrl);*/
                JSONObject jsonObject = JSONObject.parseObject(sb.toString());
                if(jsonObject.containsKey(param)) {
                    Object notFilterValue = jsonObject.get(param);
                    String cleanXSSParams = cleanXSS(sb.toString ());
                    JSONObject filteredJson = JSONObject.parseObject(cleanXSSParams);
                    filteredJson.put(param, notFilterValue);
                    return filteredJson.toJSONString();
                }else {
                    return cleanXSS(sb.toString ());
                }

            }catch (Exception e) {
                LOGGER.error("XssHttpServletRequestWrapper转换json数据失败",e);
                return cleanXSS(sb.toString ());  //异常时,就直接过滤,不管需要特殊处理的参数
            }


        }else {
            return cleanXSS(sb.toString ());
        }
    }

    /**
     * 过滤规则,这里不直接使用StringEscapeUtils.escapeHtml,因为获取的是一个json字符串,会将" 替换导致数据异常,没有""进行分割,无法正常注入到@RequestBody
     * @param value
     * @return
     */
    private static String cleanXSS(String value) {
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("%3C", "&lt;").replaceAll("%3E", "&gt;");
//        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("%28", "&#40;").replaceAll("%29", "&#41;");
//        value = value.replaceAll("‘", "&#39;");
       /* value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\‘][\\s]*javascript:(.*)[\\\"\\\‘]", "\"\"");
        value = value.replaceAll("script", "");*/
        return value;
    }


}

 感谢你的阅读,接外包、也找兼职

xss

csxiaoqiang

csxiaoqiang

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

防XSS攻击过滤器

private const string strRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*

sswqycbailong 2020-07-28

xss防范小知识

在Web安全中,xss攻击绝对算是一种非常常见的攻击方式了,它能够窃取用户的隐私信息,比如cookie,也能够做一些非用户意图的操作来达到攻击目的。xss攻击是一种非法脚本的插入与执行攻击,全称为 cross site script ,即跨站脚本攻击。通常

csxiaoqiang 2020-07-26

xss.haozi.me 练习

先打算从比较方便的可以在线的练习开始,所以并没有用最常用的DVWA,而就直接用的在线的这个xss靶场开始。服务端仍然没有进行过滤,只是这次的输出并不是直接输出,而是加入在textarea中,所以现将其闭合在输出即可。对于<textarea>标签

码农成长记 2020-07-19

极致CMS两处漏洞复现/存储xss/文件上传Getshell

根据一路追踪发现目录A是网站目录的后台文件,后端文件审计没问题来看看前端文件tql代码审计发现是问题出现在前端文件article-list.html内的问题191行这里这里没有实体化编码导致的后台存储xss漏洞输出函数未经过滤没有实体化编码。{field:

layloge 2020-07-05

百度编辑器(ueditor)踩坑,图片转存无法使用

在使用 百度编辑器 的过程中碰到了一些问题,图片转存功能无法使用, 即便是疯狂地在官方 Demo、文档、论坛甚至是 GitHub 上也没找到理想的答案。问题描述默认情况下,从 Word 中复制的内容粘贴在编辑器时,图片不会自动上传保存,除非单独复制粘贴图片

layloge 2020-06-26

Web前端必备基础知识点分享

今天跟新手朋友们分享Web前端必备基础知识点,希望对你们有所帮助!一来可以提高后端处理的效率,二来可以提高后端数据的安全。后端不要动态sql语句,使用存储过程查询语句。限制用户访问数据库权限。后端如果出现异常的话,要使用自定义错误页,防止用户通过服务器默认

liangjielaoshi 2020-06-25

XSS BOT编写

而它支持chrome webdriver、firefox webdirver、PhantomJS等,但是呢前2个就需要有桌面,而我们的docker环境是没有桌面的,所以就只能选择PhantomJS了。$sql = "SELECT password

某先生 2020-06-13

StringEscapeUtils的常用使用,防止SQL注入及XSS注入

StringBuffer sql = new StringBuffer("select key_sn,remark,create_date from tb_selogon_key where 1=1 "); if(!

ItBJLan 2020-06-11

了解 OWASP TOP 10

输入时将一些包含指令的数据发送给解析器,解释器当成命令执行。xss会执行攻击者在浏览器中执行的脚本,并劫持用户会话,破坏网站或用户重定向到恶意站点,使用xss还可以执行拒绝服务攻击。同时,使用这些组件会破坏应用程序防御,造成各种攻击产生严重的后果。

layloge 2020-06-07

XSS漏洞的基本原理

XSS,跨站脚本攻击。它指的是恶意攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当用户浏览该页之时,嵌入其中Web里面的恶意代码会被执行,从而对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。反射型XSS也被称为非持久性XSS,攻击

csxiaoqiang 2020-06-03

xss(跨站脚本攻击)

  xss造成的原因是因为对用户插入的数据没有进行过滤,导致用户可以上传一些非法数据,对服务器数据进行盗取。  xss的形成一定是伴随着输入和输出的。

sswqycbailong 2020-06-01

XSS Challenges 记录与反思

XSS Challenges是出自某位日本大佬之手,一共十九关。我没有完全记录下来,前八关基本上不怎么需要思考就能做出来的,方法也不止一种。第九关是利用UTF-7并且对ie版本号有要求也不具体操作了,网上有很多关于这个挑战的教程,想了解的可以多看看。也是需

layloge 2020-05-30

XSS跨站脚本攻击

XSS全称跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在

码农成长记 2020-05-28

C# 防XSS攻击 示例

字符串:<script></script><style>alert</style><h1>111</h1><h2>222</h2>drop delete <

qidu 2020-05-26

20175110 王礼博 Exp 9 Web安全基础

具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。与XSS攻击相比,CSRF攻击往往不大流行和难以

zhuangnet 2020-05-20

2019-2020-2 20175313 张黎仙《网络对抗技术》Exp 8 Web基础

掌握Web前端、Web后端相关语法基础以及编写出用户能登陆,登陆用户名密码保存在数据库中,登陆成功显示欢迎页面的代码。通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。跨站脚本攻击,为不和层叠样式

zhuangnet 2020-05-19

《白帽子讲Web安全》读后感(一)

就是对数据做等级划分,互联网安全的核心问题,是数据安全的问题。做资产等级划分的过程,需要与各个业务部门的负责人一一沟通,了解公司最重要的资产是什么,他们最看重的数据是什么。注意与“风险分析”区别。威胁分析就是把所有的威胁都找出来。浏览器的同源策略,限制了来

xiaoemo0 2020-05-16

CSRF跨站请求伪造与XSS跨域脚本攻击讨论

今天和朋友讨论网站安全问题,聊到了csrf和xss,刚开始对两者不是神明白,经过查阅与讨论,整理了如下资料,与大家分享.登录受信任网站A,并在本地生成Cookie。在不登出A的情况下,访问危险网站B。    <input type=‘hidden‘

码农成长记 2020-05-10

安全测试

例如在知道一个页面的绝对url地址后,该页面有个session变量叫login-in,如果login-in为False时访问该页面跳转到登录页面,为True可正常访问。由于请求都是真实的,但是请求量过大导致服务器崩溃。连接数量过大时会导致服务器资源崩溃。c

today0 2020-05-04

如何避免CSRF攻击?

如何避免CSRF攻击?CSRF跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本,但它与XSS非常不同,XSS利用站点内的信任用户,而CS

layloge 2020-05-03
csxiaoqiang

csxiaoqiang

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号