跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞

本文介绍了一种用于防止跨站脚本攻击的非法字符过滤器实现方案,该方案通过自定义过滤器对URL及参数中的非法字符进行拦截,并在web.xml中配置了过滤规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞

主要是通过在url或参数中添加脚本如:

1、URL中添加<script>alert(1)</script>

2、参数value=<a href="http://demo.com"></a>。

添加一个过滤器对特殊字符进行拦截

package com.xxx.sys.filter;

import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.log4j.Logger;

/**
 * 非法字符过滤器
 * 1.所有非法字符配置在web.xml中,如需添加新字符,请自行配置
 * 2.请注意请求与相应时的编码格式设置,否则遇到中文时,会出现乱码(GBK与其子集应该没问题)
 * @author lee
 *
 */
public class CharFilter implements Filter {
	private Logger log = Logger.getLogger(CharFilter.class);
	private String encoding;
	private String[] legalNames;
	private String[] illegalChars;
	
	public void init(FilterConfig filterConfig) throws ServletException {
		encoding = filterConfig.getInitParameter("encoding");
		legalNames = filterConfig.getInitParameter("legalNames").split(",");
		illegalChars = filterConfig.getInitParameter("illegalChars").split(",");
	}
	
	public void destroy() {
		encoding = null;
		legalNames = null;
		illegalChars = null;
	}
	

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain filterChain) throws IOException, ServletException {
		
		HttpServletRequest req = (HttpServletRequest)request;
		HttpServletResponse res = (HttpServletResponse) response;
		
		//必须手动指定编码格式
		req.setCharacterEncoding(encoding);
		String tempURL = req.getRequestURI(); 
		log.info(tempURL);
		Enumeration params = req.getParameterNames();
		
		//是否执行过滤  true:执行过滤  false:不执行过滤
		boolean executable = true;
		
		//非法状态  true:非法  false;不非法
		boolean illegalStatus = false;
		String illegalChar = "";
		//对参数名与参数进行判断
		w:while(params.hasMoreElements()){
			
			String paramName = (String) params.nextElement();
			
			executable = true;
			
			//密码不过滤
			if(paramName.toLowerCase().contains("password")){
				executable = false;
			}else{
				//检查提交参数的名字,是否合法,即不过滤其提交的值
				f:for(int i=0;i<legalNames.length;i++){
					if(legalNames[i].equals(paramName)){
						executable = false;
						break f;
					}
				}
			}
			
			if(executable){
				String[] paramValues = req.getParameterValues(paramName);
				
				f1:for(int i=0;i<paramValues.length;i++){
					
					String paramValue = paramValues[i];
					
					f2:for(int j=0;j<illegalChars.length;j++){
						
						illegalChar = illegalChars[j];
						
						if(paramValue.indexOf(illegalChar) != -1){
							illegalStatus = true;//非法状态
							break f2;
						}
					}
					
					if(illegalStatus){
						break f1;
					}
					
				}
			}
			
			if(illegalStatus){
				break w;
			}
		}
		//对URL进行判断
		for(int j=0;j<illegalChars.length;j++){
			
			illegalChar = illegalChars[j];
			
			if(tempURL.indexOf(illegalChar) != -1){
				illegalStatus = true;//非法状态
				break;
			}
		}
		if(illegalStatus){
			//必须手动指定编码格式
			res.setContentType("text/html;charset="+encoding);
			res.setCharacterEncoding(encoding);
			res.getWriter().print("<script>window.alert('当前链接中存在非法字符');window.history.go(-1);</script>");
		}else{
			filterChain.doFilter(request, response);
		}
	}

}


web.xml code

<filter>
		<filter-name>charFilter</filter-name>
		<filter-class>com.xxx.sys.filter.CharFilter</filter-class>
		<init-param>
			<param-name>encoding</param-name>
			<param-value>UTF-8</param-value>
		</init-param>
		<init-param>
			<param-name>legalNames</param-name>
			<param-value>content1,ver,historyURL,listURL</param-value>
		</init-param>
		<init-param>
			<param-name>illegalChars</param-name>
			<param-value>|,$,@,',",\',\",<,>,(,),+,CR,LF,\",",\,http</param-value>
		</init-param>
	</filter>
跨站请求伪造(CSRF)是一种常见的网络攻击方式,攻击者通过伪造用户的请求,使受害者在不知情的情况下执行一些非预期的操作。Spring Security 是一个强大的安全框架,可以帮助开发者保护应用程序免受各种安全威胁,包括 CSRF 攻击。 AppScan 是一种自动化安全测试工具,可以帮助开发者和安全专家识别和修复应用程序中的安全漏洞,包括 CSRF 漏洞。 在 Spring Security 中,CSRF 保护是默认启用的。以下是一些关键: 1. **CSRF 保护机制**:Spring Security 使用同步 Token 来防止 CSRF 攻击。每次请求都会生成一个唯一的 Token,服务器会验证这个 Token 是否有效。 2. **配置 CSRF 保护**:在 Spring Security 配置类中,可以通过以下代码启用或禁用 CSRF 保护: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable(); // 禁用 CSRF 保护 } } ``` 3. **表单提交中的 CSRF Token**:在使用表单提交时,需要在表单中添加一个隐藏字段来包含 CSRF Token: ```html <form action="/submit" method="post"> <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/> <!-- 其他表单字段 --> <button type="submit">Submit</button> </form> ``` 4. **AJAX 请求中的 CSRF Token**:在 AJAX 请求中,可以通过以下方式设置 CSRF Token: ```javascript var token = $("meta[name='_csrf']").attr("content"); var header = $("meta[name='_csrf_header']").attr("content"); $(document).ajaxSend(function(e, xhr, options) { xhr.setRequestHeader(header, token); }); ``` 通过以上配置和措施,Spring Security 可以有效地防止 CSRF 攻击。AppScan 可以帮助识别应用程序中的 CSRF 漏洞,确保应用程序的安全性。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值