安科网

防范XSS攻击

sarck

sarck

2013-12-25

关注 关注

如何杜绝跨站脚本

• 输入输出过滤元字符

– <>

– ()

– &、#、%、?

• 输入输出转义元字符

– '<' → &lt; '>' → &gt;

– '&' → &amp;

– ' → %#027; " → &quot;

方法一、过滤特殊字符

如<script>、<img>、<iframe>……

示例代码:

import java.io.IOException;
import java.util.ArrayList;
import java.util.Enumeration;
import java.util.List;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * 防止XSS(Cross Site Script)攻击的Filter
 * 
 * 
 */
public class XSSDefendFilter implements Filter {

	public  static List<String> arrTagList = new ArrayList<String>();

	// public static boolean filterSwitch =
	// com.travelsky.caair.common.Para.xssFilterB2C;

	public XSSDefendFilter() {

		super();
		if (arrTagList.size() == 0) {// 过滤敏感HTML TAG

			arrTagList.add("<script");
			arrTagList.add("<embed");
			arrTagList.add("<style");
			arrTagList.add("<frame");
			arrTagList.add("<object");
			arrTagList.add("<iframe");
			arrTagList.add("<frameset");
			arrTagList.add("<meta");
			arrTagList.add("<xml");
			arrTagList.add("<applet");
			arrTagList.add("<link");
			arrTagList.add("onload");
			arrTagList.add("<img");
			arrTagList.add("<a");
			arrTagList.add("onmouse");
			arrTagList.add("onblur");
			arrTagList.add("onchange");
			arrTagList.add("onclick");
			arrTagList.add("ondblclick");
			arrTagList.add("onkey");
			arrTagList.add("onfocus");
			arrTagList.add("onselect");
		}
	}

	public void init(FilterConfig cfg) throws ServletException {
		// TODO Auto-generated method stub

	}

	@SuppressWarnings("unchecked")
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		// TODO Auto-generated method stub
		boolean flag = false;
		Enumeration en = request.getParameterNames();
		String prtName = "-";
		String prtValue = "-";

		while (en.hasMoreElements()) {
			prtName = (String) en.nextElement();
			prtValue = request.getParameter(prtName);
			if (prtValue != null) {
				if (judgeTagByRegular(prtValue.toLowerCase())) {
					System.out.println("ERROR Filter:" + prtName + "="
							+ prtValue);
					flag = true;
					break;
				}
			}
		}

		if (!flag) {
			chain.doFilter(request, response);
		} else {// Error Process,如果有错误,大家自己定向到一个位置
			System.out.println("ERROR Filter:"
					+ ((HttpServletRequest) request).getRequestURI());

			((javax.servlet.http.HttpServletResponse) response)
					.sendRedirect(((HttpServletRequest) request).getContextPath()+ "/index.jsp");
		}
	}

	/**
	 * 对arrTagList 的tag 用正则表达式封装
	 * 
	 * @param obj
	 * @return
	 */
	private boolean judgeTagByRegular(String obj)

	{

		Pattern pattern = Pattern
				.compile(
						"(.*\\s*)((<\\s*script\\s*)|(<\\s*embed\\s*)|(<\\s*style\\s*)|(<\\s*img\\s*)|(<\\s*image\\s*)|(<\\s*frame\\s*)|(<\\s*object\\s*)|(<\\s*iframe\\s*)|(<\\s*a\\s*)|(<\\s*frameset\\s*)|(<\\s*meta\\s*)|(<\\s*xml\\s*)|(<\\s*applet\\s*)|(\\s*onmouse\\s*)|(<\\s*link\\s*)|(\\s*onload\\s*)|(\\s*onblur\\s*)|(\\s*onchange\\s*)|(\\s*onclick\\s*)|(\\s*ondblclick\\s*)|(\\s*onfocus\\s*)|(\\s*onkey\\s*)|(\\s*onselect\\s*)|(\\s*alert\\s*\\())(.*\\s*)",
						Pattern.CASE_INSENSITIVE);

		return pattern.matcher(obj).matches();

	}

	@SuppressWarnings("unused")
	private boolean judgeHasTag(String obj) {
		for (int i = 0; i < arrTagList.size(); i++) {
			String tt = arrTagList.get(i).toString();
			if (obj.indexOf(tt) >= 0) {
				return true;
			}
		}
		return false;
	}

	/*
	 * (non-Java-doc)
	 * 
	 * @see javax.servlet.Filter#destroy()
	 */
	public void destroy() {
		// TODO Auto-generated method stub
	}


}

  此方法有一定局限性,有很多可以绕过的方式:

<scRIpt>
<scr%00ript>
<scr\nript>
eval('<scr'+'ipt>')
< script >
...

方法二:还可以使用HTML和URL编码来避免问题。

   可以使用apache-lang包中的提供的方法,如下:

System.out.println(StringEscapeUtils.escapeHtml("<iframe src='http://www.baidu.com'/>"));
	
System.out.println(StringEscapeUtils.escapeHtml("<script>alert('ok');</script>"));

    使用以上方法会得到下面的结果:

&lt;iframe src='http://www.baidu.com'/&gt;
&lt;script&gt;alert('ok');&lt;/script&gt;

    这样经过html转义就可以防止html元素代码执行。方式XSS攻击。

xss 跨站攻击 特殊字符

sarck

sarck

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

xss(跨站脚本攻击)

  xss造成的原因是因为对用户插入的数据没有进行过滤,导致用户可以上传一些非法数据,对服务器数据进行盗取。  xss的形成一定是伴随着输入和输出的。

sswqycbailong 2020-06-01

XSS跨站脚本攻击

XSS全称跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在

码农成长记 2020-05-28

CSRF跨站请求伪造与XSS跨域脚本攻击讨论

今天和朋友讨论网站安全问题,聊到了csrf和xss,刚开始对两者不是神明白,经过查阅与讨论,整理了如下资料,与大家分享.登录受信任网站A,并在本地生成Cookie。在不登出A的情况下,访问危险网站B。    <input type=‘hidden‘

码农成长记 2020-05-10

Web安全——跨站脚本攻击(XSS)

我只会大概提及它的攻击原理和预防方法,具体的实现和深入研究还请大家自行百度,因为只有真正需要用到才会去详细了解,这里我只为web安全小白做知识扫盲。因为博主目前接触最多的服务端语言是JAVA所以例子都从java web项目来讲。持久型XSS将恶意代码提交给

fengyun 2020-03-23

Dedecms存在储存型跨站脚本漏洞

Dedecms是一款开源的PHP开源网站管理系统。Dedecms会员功能carbuyaction.php中的address、des、email、postname参数存在存储型XSS漏 洞,攻击者可利用漏洞获得管理员cookie。测试环境:DedeCMS-V

xiaof 2020-03-05

Pikachu-XSS(跨站脚本)

Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为we

csxiaoqiang 2020-02-23

XSS(跨站脚本)概述

Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:。XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名

sswqycbailong 2020-02-16

防XSS攻击过滤器

private const string strRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*

sswqycbailong 2020-07-28

xss防范小知识

在Web安全中,xss攻击绝对算是一种非常常见的攻击方式了,它能够窃取用户的隐私信息,比如cookie,也能够做一些非用户意图的操作来达到攻击目的。xss攻击是一种非法脚本的插入与执行攻击,全称为 cross site script ,即跨站脚本攻击。通常

csxiaoqiang 2020-07-26

xss.haozi.me 练习

先打算从比较方便的可以在线的练习开始,所以并没有用最常用的DVWA,而就直接用的在线的这个xss靶场开始。服务端仍然没有进行过滤,只是这次的输出并不是直接输出,而是加入在textarea中,所以现将其闭合在输出即可。对于<textarea>标签

码农成长记 2020-07-19

极致CMS两处漏洞复现/存储xss/文件上传Getshell

根据一路追踪发现目录A是网站目录的后台文件,后端文件审计没问题来看看前端文件tql代码审计发现是问题出现在前端文件article-list.html内的问题191行这里这里没有实体化编码导致的后台存储xss漏洞输出函数未经过滤没有实体化编码。{field:

layloge 2020-07-05

百度编辑器(ueditor)踩坑,图片转存无法使用

在使用 百度编辑器 的过程中碰到了一些问题,图片转存功能无法使用, 即便是疯狂地在官方 Demo、文档、论坛甚至是 GitHub 上也没找到理想的答案。问题描述默认情况下,从 Word 中复制的内容粘贴在编辑器时,图片不会自动上传保存,除非单独复制粘贴图片

layloge 2020-06-26

Web前端必备基础知识点分享

今天跟新手朋友们分享Web前端必备基础知识点,希望对你们有所帮助!一来可以提高后端处理的效率,二来可以提高后端数据的安全。后端不要动态sql语句,使用存储过程查询语句。限制用户访问数据库权限。后端如果出现异常的话,要使用自定义错误页,防止用户通过服务器默认

liangjielaoshi 2020-06-25

java 拦截器解决xss攻击

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者

csxiaoqiang 2020-06-16

XSS BOT编写

而它支持chrome webdriver、firefox webdirver、PhantomJS等,但是呢前2个就需要有桌面,而我们的docker环境是没有桌面的,所以就只能选择PhantomJS了。$sql = "SELECT password

某先生 2020-06-13

StringEscapeUtils的常用使用,防止SQL注入及XSS注入

StringBuffer sql = new StringBuffer("select key_sn,remark,create_date from tb_selogon_key where 1=1 "); if(!

ItBJLan 2020-06-11

了解 OWASP TOP 10

输入时将一些包含指令的数据发送给解析器,解释器当成命令执行。xss会执行攻击者在浏览器中执行的脚本,并劫持用户会话,破坏网站或用户重定向到恶意站点,使用xss还可以执行拒绝服务攻击。同时,使用这些组件会破坏应用程序防御,造成各种攻击产生严重的后果。

layloge 2020-06-07

XSS漏洞的基本原理

XSS,跨站脚本攻击。它指的是恶意攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当用户浏览该页之时,嵌入其中Web里面的恶意代码会被执行,从而对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。反射型XSS也被称为非持久性XSS,攻击

csxiaoqiang 2020-06-03

XSS Challenges 记录与反思

XSS Challenges是出自某位日本大佬之手,一共十九关。我没有完全记录下来,前八关基本上不怎么需要思考就能做出来的,方法也不止一种。第九关是利用UTF-7并且对ie版本号有要求也不具体操作了,网上有很多关于这个挑战的教程,想了解的可以多看看。也是需

layloge 2020-05-30

C# 防XSS攻击 示例

字符串:<script></script><style>alert</style><h1>111</h1><h2>222</h2>drop delete <

qidu 2020-05-26
sarck

sarck

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号