【Java代码审计 | 第五篇】XSS漏洞成因+实战案例

原创 已于 2025-03-09 09:43:54 修改 · 1.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#java #xss

于 2025-03-07 16:22:49 首次发布

未经许可,不得转载。

文章目录

在这里插入图片描述

XSS

XSS(跨站脚本攻击,Cross-Site Scripting) 是一种常见的Web安全漏洞,攻击者通过在网页中注入恶意脚本,使得这些脚本在用户的浏览器中执行。

XSS攻击通常分为以下三种类型
1、存储型XSS:恶意脚本被永久存储在目标服务器上(如数据库),当用户访问包含该脚本的页面时,脚本被执行。
2、反射型XSS:恶意脚本作为请求的一部分发送到服务器,服务器将脚本嵌入到响应中返回给用户,脚本在用户浏览器中执行。
3、DOM型XSS:恶意脚本通过修改页面的DOM结构来执行,不经过服务器处理。

漏洞成因

在 Java Web 应用中,XSS 漏洞通常源于对用户输入缺乏适当的过滤和处理,使得恶意脚本能够被注入并在浏览器中执行。

1、直接输出用户输入

String userInput = request.getParameter("input");
out.println(userInput);  // 直接输出用户输入,可能导致XSS

2、在JSP中使用EL表达式输出用户输入

<p>${param.input}</p>  <!-- 直接输出用户输入,可能导致XSS -->

3、在Thymeleaf模板中输出用户输入

<p th:text="${input}"></p>  <!-- 直接输出用户输入,可能导致XSS -->

4、在JavaScript中嵌入用户输入

String userInput = request.getParameter("input");
out.println("<script>var input = '" + userInput + "';</script>");  // 直接嵌入用户输入到JS中,可导致XSS

此外,还有多种写法导致XSS,例如过滤不全被绕过等。

实战案例

案例1

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
//这一行是JSP的指令,用于指定页面属性:告诉浏览器这个页面是 HTML 格式;指定页面的字符编码为 UTF-8,可以正确显示中文等非 ASCII 字符;JSP 代码使用的语言是 Java。
<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>XSS 测试靶场</title>
</head>
<body>
<h1>XSS 反射型漏洞测试</h1>
<form action="index.jsp" method="get">
  <label>请输入内容:</label>
  <input type="text" name="input">
  <button type="submit">提交</button>
</form>

<h2>输出结果:</h2>
<p>
  <%
    String userInput = request.getParameter("input");
    if (userInput != null) {
      out.println(userInput);  // 直接输出,存在 XSS 漏洞
    }
  %>
  //在JSP中,<% ... %> 用于嵌入 Java 代码,这些代码会在服务器端执行,并生成 HTML 发送给浏览器。
</p>
</body>
</html>

代码使用 request.getParameter(“input”) 获取用户输入,接着使用 out.println(userInput); 直接输出,未进行 HTML 编码,导致 XSS:

在这里插入图片描述

案例2

EL 表达式 不会自动转义 HTML,会直接渲染用户输入的内容。

如下代码存在漏洞:

<%@ page contentType="text/html; charset=UTF-8" language="java" %>
<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <title>XSS EL表达式测试</title>
</head>
<body>
<h1>XSS EL表达式漏洞</h1>
<form action="index.jsp" method="get">
  <label>请输入内容:</label>
  <input type="text" name="input">
  <button type="submit">提交</button>
</form>
<h2>输出结果:</h2>
<p>${param.input}</p> <!-- 直接输出,存在XSS漏洞 -->
</body>
</html>

payload:

<img src=1 onerror=alert("优快云秋说")>

在这里插入图片描述

案例3

<%@ page contentType="text/html; charset=UTF-8" language="java" %>
<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <title>XSS 测试</title>
</head>
<body>
<h1>JavaScript中直接使用用户输入导致XSS</h1>
<form action="index.jsp" method="get">
  <label>请输入内容:</label>
  <input type="text" name="input">
  <button type="submit">提交</button>
</form>
<h2>输出结果:</h2>
<p>
  <%
    String userInput = request.getParameter("input");
    if(userInput != null){
      out.println("<script>var input = '" + userInput + "';</script>");
    }
  %>
</p>
</body>
</html>

如果用户访问:http://localhost:8080/index.jsp?input=Hello

则服务器返回的 HTML 为:

<script>var input = 'Hello';</script>

因此我们可以构造语句,实现单引号闭合。

若构造的payload为:';alert(1)

但结果如下,JS语句并没有被执行:

在这里插入图片描述

这是因为语法错误,JavaScript 解析器会将其视为无害的普通字符串,并不会执行alert(1);。

因此需要将后面的script标签注释掉,payload:

';alert(1)//

服务器返回:

<script>var input = '';alert(1);//';</script>

此时成功触发XSS:

在这里插入图片描述

在这里插入图片描述

XSS漏洞实例
Sumarua的博客
06-19 1450
xss闯关游戏 实战靶场:云演xss漏洞靶场 第一关 直接输出 (1)分析 XSS 测试中一般使用弹窗的方式进行测试。 (2)弹窗代码示例: 此时弹窗回显为1,说明我们输入的指令被成功执行,存在低级的xss漏洞 第二关 value 此时我们再执行这条命令时发现无反应,没有弹窗也没有回显 示例结果 第三关 简单过滤 又叫复写 ,是一种简单的绕过姿势 第四关 简单过滤 当我们输入带有alert的字符时会直接退出脚本执行 javascript中 prompt()方法用于显示一个带有提
XSS漏洞测试案例分享(原创)
gaomei2009的专栏
04-14 2074
直到今天才发现,只有写作才能让你把知识记牢。只有写作才能把日常工作的积累,不写记录,好记性不如烂笔头。以后每周会把自己工作中的渗透测试分享出来,对自己是一个积累的过程,对大家是一个共享。 一、工具扫描 个人建议使用XRAY工具,可以非常快速发现XSS漏洞,大把节约了手工渗透的时间。 二、手工测试 在应用系统中,在有人机交互的地方输入相关JS语句,例如 <img src=1 onerror=alert(1)> <script>alert("XSS")&l...
Java 代码审计入门-03】XSS 漏洞原理与实际案例介绍
shaozheng0503的博客
12-27 2926
为什么会有这一系列的文章呢?因为我发现网上缺乏成系统的Java代码审计教程,大多是分散的点。对于新人来说,这样的资源可能不够友好。加上本人也在学习Java审计,希望通过记录和总结自己的学习历程,帮助到更多的人。因此有了本系列的文章。本系列面向拥有Java基本语法基础的朋友,内容涵盖审计环境介绍、SQL漏洞XSS漏洞、SSRF漏洞、RCE漏洞等原理与实际案例分析。希望这些文章能给你带来收获。Java 代码审计入门-01:审计前的准备Java 代码审计入门-02:SQL漏洞原理与实际案例介绍。
能够发现90%以上XSS漏洞的7个主要的XSS案例
weixin_42976700的博客
11-04 2315
在阅读有关XSS的材料时,我们通常会看到经典的<script> alert(1)</ script>作为这种漏洞的证明(PoC –概念证明)。尽管确实如此,但它并没有超出此范围,这使得该领域的新手可以寻求更多解决方案来应对现实情况。 因此,这是每个人都应该知道能够利用那里的绝大多数XSS缺陷的7种情况。建立了一个网页来显示它们的变化(单引号或双引号)来进行训练(单击以转到它): 在源代码的开头,有一个HTML注释,其中包含用于触发每种情况的所有参数。它们都适...
安全-反射性xss基础注入
m0_63069714的博客
11-08 474
题目中明确说明不能出现以下关键字(script|document|cookie|eval|setTimeout|alert),因此就将这些字符串进行拼接,在javascript中拼接字符串可以直接使用+,但是在url地址栏中,+会被url转义为空格,因此需要将+进行urlcode编码。其他原因与上次的题目相同。2、下面代码是通过正则表达式,将get上传的参数进行了过滤,将" ( ", " ) ", " & ", " \\ ", " < ", " > ", " ' "这些符号进行了替换,替换结果为空。
Java代码审计实战:立即行动,找出并修复这些常见安全漏洞
在当今的IT安全领域,Java代码审计成为了预防安全漏洞的关键环节。由于Java广泛应用于企业级应用程序,其潜在的安全风险不容忽视。通过代码审计,开发者可以及时发现和修复代码中的安全缺陷,预防未来的安全威胁。 ...
Java代码审计实战攻略:一步步带你成为审计大师
本文系统性地介绍了Java代码审计的概览、基础技巧、中间件审计实践、进阶技术以及案例分析,并展望了未来趋势。重点讨论了审计过程中的安全漏洞类型,如输入验证不足、认证和授权缺陷,以及代码结构和异常处理不当。...
Java代码审计:深入框架安全性,专家带你剖析安全漏洞
[Java代码审计:深入框架安全性,专家带你剖析安全漏洞](https://p1-jj.byteimg.com/tos-cn-i-t2oaga2asx/gold-user-assets/2020/2/29/1708eca87ee0599f~tplv-t2oaga2asx-zoom-in-crop-mark:1304:0:0:0.awebp?...
代码审计指南(脱敏重新发) - Github开源Java项目
Lucker_YYY的博客
09-26 755
社区中包含有主要讲解系统化从基础入门到实战漏洞挖掘的教程,其中包含团队自整的挖掘注意点和案例代码审计的师傅,苦于寻找开源的项目练练手,这里就结合Github上的开源项目进行简单审计,方便师傅们跟随步骤学习思路。登录后台,在资本资料 - 用户头像处可以上传人员文件,此处没有限制格式和内容。此处Java版Ueditor文件可以上传xml文件,造成的XSS漏洞。在系统管理的文件管理中,文件保存路径为下载路径,点击后会调用下载方法。上传成功后返回路径,然后根据读取文件访问的方法请求对应路径。
【软件漏洞减少】:代码审计和安全编码实践的6大实战指南
软件漏洞成因与影响 软件漏洞是造成当今信息安全事件的罪魁祸首之一。它们源于软件开发过程中的诸多因素,如设计缺陷、编码错误、配置不当或未及时更新的第三方组件。这些漏洞不仅会导致数据泄露、服务中断和...
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
xssi漏洞案例分析
南迪叶先森
07-15 677
来源 在h1看到paypal的key信息泄露导致用户账户信息泄露,包括用户的用户名、邮箱等信息,并获得1.5w$奖金,分析完毕在freebuf上找到xssi相关文章,该文章在18年发布,但是当时对于该漏洞的看重程度还不是很高。 漏洞原理 XSSI被称为跨站脚本包含漏洞,通常在开发过程中对数据的临时存储,存储在动态javascript文件中,方便全局对数据的调用。该数据通过服务端生成,临时存储在js文件中,被客户端进行使用,通过该功能进行数据处理、身份认证等处理;问题在于通过对动态js的调用,我们可以通过嵌入
XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF
m0_64378913的博客
06-02 5074
(1)了解beEF工具的使用; (2)加深理解XSS漏洞的利用和危害; (3)掌握浏览器劫持的攻击方法; (4)掌握会话劫持的攻击方法; (5)掌握通过XSS漏洞GetShell的方法。
Flash XSS 漏洞实例
07-08 196
www.bsdxm.com/zeroclipboard/ZeroClipboard.swf?id=\"))}catch(e){alert(/xss/);}//&width=500&height=500 http://jykt.xmhcedu.gov.cn/uploadify/uploadify.swf?uploadifyID=00"));}catch(e)...
XSS漏洞
zhoutong2323的博客
04-19 3921
XSS漏洞(Cross-Site Scripting)是一种常见的Web应用程序安全漏洞,它允许攻击者在受害者的浏览器中注入恶意脚本。当受害者访问包含恶意脚本的网页时,攻击者就可以利用该漏洞来执行任意的代码,例如窃取用户的敏感信息、修改网页内容或进行其他恶意活动。
几个常见场景下的xss漏洞案例
最新发布
bdfcfff77fa的博客
08-15 751
可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。如果有可以解析的标签,大概率就能用冷门的事件绕过waf,alert有太多变形,比较好绕过waf,如果输出就对尖括号做了转义,那就只能看运气了。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。可以看到是成功解析了s标签,如果没解析也不一定就不存在xss,但是只要解析就大概率存在xss了。点击保存草稿,有的网站是在保存的这一步有过滤,去草稿箱确认一下。这里本来以为会拦截,结果没拦直接弹了,省的再绕了。
JAVA代码审计
热门推荐
gjgj的博客
07-13 1万+
小迪 2020-6 第55天 如果去分析代码:工具 加 手工 相结合的方法进行分析 Java代码审计,主要从代码层面分析: 主要分为三大类:1、常规性代码 2、框架性代码 ( 各种各样的开发框架) (最常见的 框架漏洞是 struts2 框架漏洞 ) ...
java代码审计
qq_44256371的博客
12-06 1673
java代码审计
Java在线审计案例管理系统(源码+开题)
光冯毕设程序
01-07 1309
首先,该系统能够有效地整合审计资源,提高审计效率,减少重复和不必要的劳动。最后,该系统的应用还有助于规范审计流程,提高审计质量,为决策者提供更加准确和可靠的数据支持。因此,审计行业正在逐步实现信息化转型,其中在线审计案例管理系统是重要的组成部分。[5]崔慧娟. MVVM模式在Android项目中的应用[J]. 信息与电脑(理论版), 2021, 33 (06): 1-3.[2]司利平. 浅谈Java在计算机软件开发中的应用[J]. 电脑知识与技术, 2021, 17 (24): 81-82.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值