跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞

最新推荐文章于 2023-11-21 17:57:01 发布
最新推荐文章于 2023-11-21 17:57:01 发布
阅读量1.2w 收藏 9
点赞数 1
分类专栏: 漏洞 文章标签: 漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javaee_ssh/article/details/38038461
版权
本文介绍了一种用于防止跨站脚本攻击的非法字符过滤器实现方案,该方案通过自定义过滤器对URL及参数中的非法字符进行拦截,并在web.xml中配置了过滤规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞

主要是通过在url或参数中添加脚本如:

1、URL中添加<script>alert(1)</script>

2、参数value=<a href="http://demo.com"></a>。

添加一个过滤器对特殊字符进行拦截

package com.xxx.sys.filter;

import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.log4j.Logger;

/**
 * 非法字符过滤器
 * 1.所有非法字符配置在web.xml中,如需添加新字符,请自行配置
 * 2.请注意请求与相应时的编码格式设置,否则遇到中文时,会出现乱码(GBK与其子集应该没问题)
 * @author lee
 *
 */
public class CharFilter implements Filter {
	private Logger log = Logger.getLogger(CharFilter.class);
	private String encoding;
	private String[] legalNames;
	private String[] illegalChars;
	
	public void init(FilterConfig filterConfig) throws ServletException {
		encoding = filterConfig.getInitParameter("encoding");
		legalNames = filterConfig.getInitParameter("legalNames").split(",");
		illegalChars = filterConfig.getInitParameter("illegalChars").split(",");
	}
	
	public void destroy() {
		encoding = null;
		legalNames = null;
		illegalChars = null;
	}
	

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain filterChain) throws IOException, ServletException {
		
		HttpServletRequest req = (HttpServletRequest)request;
		HttpServletResponse res = (HttpServletResponse) response;
		
		//必须手动指定编码格式
		req.setCharacterEncoding(encoding);
		String tempURL = req.getRequestURI(); 
		log.info(tempURL);
		Enumeration params = req.getParameterNames();
		
		//是否执行过滤  true:执行过滤  false:不执行过滤
		boolean executable = true;
		
		//非法状态  true:非法  false;不非法
		boolean illegalStatus = false;
		String illegalChar = "";
		//对参数名与参数进行判断
		w:while(params.hasMoreElements()){
			
			String paramName = (String) params.nextElement();
			
			executable = true;
			
			//密码不过滤
			if(paramName.toLowerCase().contains("password")){
				executable = false;
			}else{
				//检查提交参数的名字,是否合法,即不过滤其提交的值
				f:for(int i=0;i<legalNames.length;i++){
					if(legalNames[i].equals(paramName)){
						executable = false;
						break f;
					}
				}
			}
			
			if(executable){
				String[] paramValues = req.getParameterValues(paramName);
				
				f1:for(int i=0;i<paramValues.length;i++){
					
					String paramValue = paramValues[i];
					
					f2:for(int j=0;j<illegalChars.length;j++){
						
						illegalChar = illegalChars[j];
						
						if(paramValue.indexOf(illegalChar) != -1){
							illegalStatus = true;//非法状态
							break f2;
						}
					}
					
					if(illegalStatus){
						break f1;
					}
					
				}
			}
			
			if(illegalStatus){
				break w;
			}
		}
		//对URL进行判断
		for(int j=0;j<illegalChars.length;j++){
			
			illegalChar = illegalChars[j];
			
			if(tempURL.indexOf(illegalChar) != -1){
				illegalStatus = true;//非法状态
				break;
			}
		}
		if(illegalStatus){
			//必须手动指定编码格式
			res.setContentType("text/html;charset="+encoding);
			res.setCharacterEncoding(encoding);
			res.getWriter().print("<script>window.alert('当前链接中存在非法字符');window.history.go(-1);</script>");
		}else{
			filterChain.doFilter(request, response);
		}
	}

}


web.xml code

<filter>
		<filter-name>charFilter</filter-name>
		<filter-class>com.xxx.sys.filter.CharFilter</filter-class>
		<init-param>
			<param-name>encoding</param-name>
			<param-value>UTF-8</param-value>
		</init-param>
		<init-param>
			<param-name>legalNames</param-name>
			<param-value>content1,ver,historyURL,listURL</param-value>
		</init-param>
		<init-param>
			<param-name>illegalChars</param-name>
			<param-value>|,$,@,',",\',\",<,>,(,),+,CR,LF,\",",\,http</param-value>
		</init-param>
	</filter>
什么是跨站脚本 (XSS) 攻击?
简介
01-04 2278
这一次,教会xss攻击!!!!!!!
AppScan安全扫描记录遇到的一些问题
qq_41345150的博客
09-26 2001
AppScan安全扫描记录遇到的一些问题sql注入&跨站脚本编制&通过框架钓鱼&链接注入(便于跨站请求伪造)缺少跨帧脚本编制防御 X-Frame-Options缺少“Content-Security-Policy”头缺少 HTTP Strict-Transport-Security 头缺少“X-Content-Type-Options”头缺少“X-XSS-Protecti...
IBM Security Appscan漏洞--通过框架钓鱼
YouXu
03-16 6593
通过框架钓鱼
java跨站脚本编制_跨站请求伪造 跨站脚本编制 通过框架钓鱼漏洞 | 学步园...
weixin_33324435的博客
02-26 278
1、跨站请求伪造 跨站脚本编制 通过框架钓鱼漏洞主要是通过在url或参数中添加脚本如:1、URL中添加alert(1)2、参数value=。添加一个过滤器对特殊字符进行拦截package com.xxx.sys.filter;import java.io.IOException;import java.util.Enumeration;import javax.servlet.Filter;i...
Iframe框架钓鱼攻击
m0_62425768的博客
11-19 967
Iframe框架钓鱼网站是指那些假扮成合法网站的虚假网站,旨在诱骗用户提供个人信息、账号密码、财务信息等敏感信息。这些网站通常会模仿知名的银行、电子支付平台、电子邮件服务提供商等机构的网站,以迷惑用户并诱使他们输入敏感信息。原理是,使用正则表达式来判断前端传过来的值是否正常,如不正常则不允以应答,如正常则向前端返回前端Iframe标签中的值。当前端传过来的值为InN时,执行doYInframe方法,可防护Iframe框架钓鱼的后端代码。在访问银行、支付平台等网站时,确保网址正确,使用书签或手动输入网址。
跨站脚本编制漏洞
04-08 461
跨站脚本编制漏洞 安全风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务可能原因:未对用户输入正确执行危险字符清理技术描述:“跨站脚本编制”攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定 Web 站交互时假冒这位用户。 这个攻击立足于下列事实:Web 站中所包含的脚...
appscan扫描 通过框架钓鱼、链接注入(便于跨站请求伪造)、跨站脚本编制等问题
Mervyn的博客
10-11 1681
手上的一个项目最近用appscan扫描测试。遇到了几个中高问题: 通过框架钓鱼 链接注入(便于跨站请求伪造跨站脚本编制 看了下测试报告给出的原因:未对用户输入正确执行危险字符清理。 修改建议是针对xss漏洞进行修复。 最开始处理的时候,参照预防XSS攻击,(参数/响应值)特殊字符过滤这篇博文做了过滤,再扫描还是有这几个问题。 后面又看了篇博文XSS攻击常识及常见的XSS攻击脚本汇总,了解...
IBM Security Appscan漏洞--存储的跨站脚本编制
YouXu
03-16 9285
未对用户输入正确执行危险字符清理 ,添加XSS过滤器
跨站脚本编制
ilsld的博客
10-11 1770
项目安全检测出现 “跨站脚本编制” 的问题,以下解决方法是网上搜索整理。 用过滤器过滤所有url 1.过滤器 @Slf4j @WebFilter(filterName = "urlFilter", urlPatterns = "/*") public class webFilter implements Filter { /** * * @param filterConfig The configuration information associated with the
跨站脚本编制问题解决
06-12
基于OWASP组织提供的WEB项目中跨站脚本编制问题解决方案。添加了pom依赖及相关jar包,适合在java web项目中使用!
xss跨站脚本编制漏洞/antisamy策略过滤
09-07
XSS跨站脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
经典Web安全缺陷(框架钓鱼风险)
Liuhaiyan6的博客
09-17 8622
1、概述:Web安全应用程序的安全始终是一个重要的议题,因为网站是恶意工作者的第一目标。黑客利用网络传播其恶意软件、蠕虫、垃圾及其他等等。QWASP(是一个符合501(c)3)全球不以营利为目的的慈善组织专注于提高软件的安全性)概括了Web应用程序中最为危险的安全漏洞,但是在不断积极的发现可能出现的新的弱以及新的Web攻击手段。黑客总是不断的在寻找新的方法欺骗用户,因此从渗透的角度看,我们需要看到
【安全漏洞】安全漏洞处理--跨站脚本编制
11-21 310
这里并没有写的很完全,如果你的系统中加了这段代码,还是出现问题,那么你就要去看看源文件了,看存在哪些特殊的字符,在这段代码中进行补充就可以了;注意:1、404.jsp页面或者其他页面的输出错误路径语句,也会检测到跨站脚本编制错误,要把输出路径语句删除或者屏蔽。通过修改原始请求参数,可获取正常的响应结果,并且可以在响应的内容中获取到修改原始参数添加的那部分脚本。对修改原始请求参数添加的脚本进行过滤,找到关键词后对关键词进行替换或者直接报错跳转到异常页面。响应的内容中获取到修改原始参数添加的那部分脚本
跨站脚本编制 解决方案( IBM)
收集盒 Book box
11-21 4103
跨站脚本编制 修订建议 一般 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符
java 跨站脚本编制_跨站脚本编制
weixin_28881575的博客
02-16 727
跨站脚本编制”攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定 Web 站交互时假冒这位用户。这个攻击立足于下列事实:Web 站中所包含的脚本直接将用户在 HTML 页面中的输入(通常是参数值)返回,而不预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入,浏览器便可以执行输入中的代码。 因此,有可能形成指向站的若干链接,且其中一个参数是由恶意的 ...
跨站脚本编写综合教程
aboutmn的博客
08-28 1141
第一部分:概述 什么是XSS? 跨站脚本(XSS)是一种代码注入攻击,它使攻击者可以在用户的浏览器中执行恶意JavaScript。 攻击者不会直接针对其受害者。 相反,他利用受害者访问的网站中的漏洞来使网站为他提供恶意JavaScript。 对于受害者的浏览器而言,恶意JavaScript似乎是网站的合法部分,因此该网站充当了攻击者的无意帮凶。 如何注入恶意JavaScript 攻击者在受害者的浏览器中运行其恶意JavaScript的唯一方法是将其注入受害者打开的网站页面。 如果如果网站部队用户输入进行过
跨站脚本编制-XSS 描述及解决方法
p15097962069的博客
05-25 530
跨站脚本编制-XSS 描述及解决方法
appscan 跨站请求伪造 springsecurity
最新发布
12-13
跨站请求伪造(CSRF)是一种常见的网络攻击方式,攻击者通过伪造用户的请求,使受害者在不知情的情况下执行一些非预期的操作。Spring Security 是一个强大的安全框架,可以帮助开发者保护应用程序免受各种安全威胁,包括 CSRF 攻击。 AppScan 是一种自动化安全测试工具,可以帮助开发者和安全专家识别和修复应用程序中的安全漏洞,包括 CSRF 漏洞。 在 Spring Security 中,CSRF 保护是默认启用的。以下是一些关键: 1. **CSRF 保护机制**:Spring Security 使用同步 Token 来防止 CSRF 攻击。每次请求都会生成一个唯一的 Token,服务器会验证这个 Token 是否有效。 2. **配置 CSRF 保护**:在 Spring Security 配置类中,可以通过以下代码启用或禁用 CSRF 保护: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable(); // 禁用 CSRF 保护 } } ``` 3. **表单提交中的 CSRF Token**:在使用表单提交时,需要在表单中添加一个隐藏字段来包含 CSRF Token: ```html <form action="/submit" method="post"> <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/> <!-- 其他表单字段 --> <button type="submit">Submit</button> </form> ``` 4. **AJAX 请求中的 CSRF Token**:在 AJAX 请求中,可以通过以下方式设置 CSRF Token: ```javascript var token = $("meta[name='_csrf']").attr("content"); var header = $("meta[name='_csrf_header']").attr("content"); $(document).ajaxSend(function(e, xhr, options) { xhr.setRequestHeader(header, token); }); ``` 通过以上配置和措施,Spring Security 可以有效地防止 CSRF 攻击。AppScan 可以帮助识别应用程序中的 CSRF 漏洞,确保应用程序的安全性。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值