快捷導(dǎo)航

Java過(guò)濾器如何解決存儲(chǔ)型xss攻擊問(wèn)題

更新時(shí)間：2024年05月27日 10:48:02 作者：馮浩月

這篇文章主要介紹了Java過(guò)濾器如何解決存儲(chǔ)型xss攻擊問(wèn)題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教

Java過(guò)濾器解決存儲(chǔ)型xss攻擊

XSS攻擊場(chǎng)景

攻擊者可以通過(guò)構(gòu)造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段，利用跨站腳本漏洞欺騙用戶(hù)，收集Cookie等相關(guān)數(shù)據(jù)并冒充其他用戶(hù)。

通過(guò)精心構(gòu)造的惡意代碼，可以讓訪問(wèn)者訪問(wèn)非法網(wǎng)站或下載惡意木馬，如果再結(jié)合其他攻擊手段（如社會(huì)工程學(xué)、提權(quán)等），甚至可以獲取系統(tǒng)的管理權(quán)限。

舉例說(shuō)明

例如：

在項(xiàng)目看板里待材料初審存儲(chǔ)下面代碼，點(diǎn)擊A項(xiàng)目會(huì)彈出框

Payload: <iframe οnlοad=alert("xss");></iframe>

在這里插入圖片描述

例如：

全部階段結(jié)果標(biāo)準(zhǔn)-存儲(chǔ)下面代碼，點(diǎn)擊20200927測(cè)試-2

Payload: <textarea οnfοcus=alert("xss"); autofocus>

在這里插入圖片描述

解決方案

找到項(xiàng)目已有的filter過(guò)濾器，在過(guò)濾HttpServletRequest參數(shù)時(shí)，進(jìn)行參數(shù)的處理，使用轉(zhuǎn)義，將 < 轉(zhuǎn)義為 & lt , > 轉(zhuǎn)義為 & gt

  public PaasHttpRequestWrapper(HttpServletRequest request) {
        super(request);
        StringBuilder stringBuilder = new StringBuilder();
        InputStream inputStream = null;
        try {
            inputStream = request.getInputStream();
        } catch (IOException e) {
            throw new RuntimeException(e);
        }
        if (inputStream != null) {
            try (BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(inputStream))) {
                char[] charBuffer = new char[CHAR_BUFFER_LENGTH];
                int bytesRead;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, BUFFER_START_POSITION, bytesRead);
                }
            } catch (IOException e) {
                e.printStackTrace();
            }
        } else {
            stringBuilder.append("");
        }
        body = stringBuilder.toString();
        // 解決xss攻擊問(wèn)題
        if (body.contains("<")) {
            body = body.replace("<", "&lt");
        }
        if (body.contains(">")) {
            body = body.replace(">", "&gt");
        }
        initParameterMap();
    }

XSS攻擊及解決方案

什么是XSS攻擊？

XSS攻擊使用Javascript腳本注入進(jìn)行攻擊

XSS攻擊常出現(xiàn)在提交表單中，如博客的評(píng)論區(qū)等，用戶(hù)可以通過(guò)提交評(píng)論：<script>alert("你的網(wǎng)站太垃圾了！")</script>，那么只要訪問(wèn)該頁(yè)面的用戶(hù)都會(huì)彈窗，當(dāng)然，這可能是為了娛樂(lè)娛樂(lè)，不要小看XSS攻擊，有些人利用XSS攻擊竊取用戶(hù)名密碼，調(diào)用黑客的工程，將用戶(hù)名和密碼發(fā)送過(guò)去，也可以偽裝成釣魚(yú)網(wǎng)站。

例如在表單中注入: <script>location.href='http://www.xxx.com'</script> 那么頁(yè)面會(huì)跳轉(zhuǎn)到xxx.com

還可以根據(jù)js獲取本地瀏覽器的cookie信息，根據(jù)cookie信息完全可以模擬用戶(hù)。

注意：谷歌瀏覽器已經(jīng)防止了XSS攻擊，為了演示效果，最好使用火狐瀏覽器。

那么該如何防止XSS攻擊呢？

實(shí)現(xiàn)思路：

使用轉(zhuǎn)義解決。將<轉(zhuǎn)義為&lt >轉(zhuǎn)義為&gt

①使用過(guò)濾器，攔截所有請(qǐng)求，重寫(xiě)request
②重寫(xiě)獲取值的方法，將特殊代碼轉(zhuǎn)換成html

具體代碼實(shí)現(xiàn)：

XssHttpServletRequest.java

package cn.itcats;
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
 
import org.apache.commons.lang3.StringEscapeUtils;
import org.apache.commons.lang3.StringUtils;
 
public class XssHttpServletRequest extends HttpServletRequestWrapper{
    private HttpServletRequest request;
    
    //需要重寫(xiě)構(gòu)造方法
    public XssHttpServletRequest(HttpServletRequest request) {
        super(request);
        this.request = request;
    }
        
    //需要重寫(xiě)getParameter(name)方法,將value進(jìn)行轉(zhuǎn)義
    public String getParameter(String name) {
        String value = request.getParameter(name);
        System.out.println("沒(méi)有轉(zhuǎn)義之前:value="+value);
        if(StringUtils.isNotBlank(value)){
            //轉(zhuǎn)化為html,<script>標(biāo)簽都會(huì)轉(zhuǎn)化為html格式  &lt;script&gt;
            //工具類(lèi)來(lái)自于org.apache.commons.lang3.StringEscapeUtils
            value = StringEscapeUtils.escapeHtml4(value);
        }
        return value;
    }
 
}

web.xml配置過(guò)濾器

<!-- 防止XSS攻擊 -->
    <filter>
        <filter-name>FilterXSS</filter-name>
        <filter-class>cn.itcats.FilterXSS</filter-class>
    </filter>
    
    <filter-mapping>
        <filter-name>FilterXSS</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

FilterXss.java

package cn.itcats;
 
import java.io.IOException;
 
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
 
public class FilterXSS implements Filter{
 
    public void init(FilterConfig filterConfig) throws ServletException {
        
    }
 
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        //強(qiáng)轉(zhuǎn)為HttpServletRequest
        HttpServletRequest req = (HttpServletRequest)request;
        //需要重寫(xiě)request,重建一個(gè)類(lèi)XssHttpServletRequest 繼承 HttpServletRequestWrapper，重寫(xiě)構(gòu)造和getParameter方法
        XssHttpServletRequest xssHttpServletRequest = new XssHttpServletRequest(req);
        //務(wù)必傳入是重寫(xiě)過(guò)的request,放行
        chain.doFilter(xssHttpServletRequest, response);
    }
 
    public void destroy() {
        
    }
 
}

注意：只要是文本框、表單等，需要提交并在頁(yè)面展示的，一般都需要做防XSS攻擊。