java代码审计之XSS

最新推荐文章于 2025-09-10 10:37:23 发布
原创 最新推荐文章于 2025-09-10 10:37:23 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了Java代码审计中针对XSS跨站脚本攻击的防范,介绍了审计思路,以javasec为例展示了如何查找敏感点。提出了三种修复方案,包括全局过滤器配置、使用StringEscapeUtils函数和Spring的HtmlUtils工具类。并详细分析了一个实际的CVE-2018-19178案例,该案例中<embed>标签被用于XSS攻击,解决方案是加强过滤器处理。

介绍:

对于和后端有交互的地方没有做参数的接收和输入输出过滤,导致恶意攻击者可以插入一些恶意的 js 语句
来获取应用的敏感信息。

审计思路:

扫描所有的 HttpServletRequest 查看相关的上下文环境。

这里以javasec为例:

先将1存储进去

 

这里是将xss存储到了cookie里边

访问就可以看见了

javasec处理方法:

这里提供几个具体的处理方式。

修复方案:

方案一

全局编写过滤器

1、首先配置 web.xml,web.xml是java web 项目的一个重要的配置文件,但是web.xml文件并不是Java web工程必须的,web.xml文件的主要作用用来配置:欢迎页、servlet、filter等。但是当web工程中没用到这些时,可以不用web.xml文件来配置web工程。做全局过滤器需要要用到 filter,因此首先要做的是来配置web.xml文件,添加如下配置信息:

<filter>
<filter-name>xssAndSqlFilter</filter-name>
<filter-class>com.cup.cms.web.framework.filter.XssAndSqlFilter</filterclass>
</filter>
<filter-mapping>
<filter-name>xssAndSqlFilter</filter-name>
<url-pattern>*</url-pattern>
</filter-mapping>

这里要注意的是,我们的配置是/*而不是/< url-pattern>/</url-pattern> 会匹配到/login这样的路径型url,不会匹配到模式为

最低0.47元/天 解锁文章
Java代码审计XSS
大河之犬的博客
12-16 2万+
XSS 漏洞是指攻击者在网页中嵌客户端脚本(通常是 JavaScript 编写的恶意代码),进而执行其植代码的漏洞。若 Web 应用未对用户可直接或间接控制的“输”与“输出”数进行关键字过滤或转义处理,则很可能存在跨站脚本漏洞。从 Web 应用上来看,攻击者可以控制的数包括 URL 数、post 提交的表单数据以及搜索框提交的搜索关键字,一般对该漏洞的审计策略如下收集输、输出点查看输、输出点的上下文环境。判断 Web 应用是否对输、输出做了防御工作(如过滤、扰乱以及编码)
Java代码审计XSS漏洞详解
悦分享
01-23 318
跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSSXSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。
java-sec-code xss和csrf
weixin_44687621的博客
08-19 478
XSS漏洞 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。 一般来说,只要将用户输的数据不经任何处理就返回到前端,是极易产生XSS漏洞的。 反射型xss 为了让我们方便理解,作者这里没有使用其他花里胡哨的html页面 @RequestMapping("/reflect"
JAVA代码审计-XSS漏洞分析
shelter1234567的博客
10-23 1498
XSS漏洞,可不仅仅是弹窗这么简单,本篇先讲一讲触发该漏洞的形式,换一期讲一讲XSS的危害究竟有多大!
代码审计』-PHP篇(九)之XSS漏洞挖掘:洞悉风险,固守防线 —— XSS漏洞深度洞察与防护
最新发布
喜欢Python编程的程序员柚柚呀
09-10 795
跨站脚本攻击(Cross-Site Scripting, XSS)是长期位列OWASP Top 10的Web应用程序安全漏洞。它并非针对服务器直接攻击,而是通过将恶意脚本注到可信的、原本安全的上下文中,最终在用户的浏览器中执行,从而危害终端用户。本文将从科学原理、分类、危害及防御策略等方面,对XSS进行系统性的阐述。
Java代码审计-XSS审计
baimaozi008的博客
05-24 1890
XSS是Cross Site Scripting的缩写,意为"跨站脚本攻击",为了避免与层叠样式表(Cascading Style Sheet,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种针对网站应用程序的安全漏洞攻击技术,是代码注的一种。XSS是指攻击者在网页中嵌客户端脚本(通常是JavaScript编写的恶意代码),进而执行其植的代码的漏洞,若Web应用未对用户可直接活间接控制的"输"或者"输出"进行关键字的过滤或者转义处理,则很有可能存在跨站脚本漏洞。
java代码审计xss
qq_34778376的博客
03-11 466
漏洞描述 跨站脚本攻击是指恶意攻击者往Web页面里插恶意Script代码,当用户浏览该页之时,嵌其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 缺陷代码 protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { String input1 = req.getParameter("input1"); [..
Java 代码审计门-03】XSS 漏洞原理与实际案例介绍
shaozheng0503的博客
12-27 2882
为什么会有这一系列的文章呢?因为我发现网上缺乏成系统的Java代码审计教程,大多是分散的点。对于新人来说,这样的资源可能不够友好。加上本人也在学习Java审计,希望通过记录和总结自己的学习历程,帮助到更多的人。因此有了本系列的文章。本系列面向拥有Java基本语法基础的朋友,内容涵盖审计环境介绍、SQL漏洞、XSS漏洞、SSRF漏洞、RCE漏洞等原理与实际案例分析。希望这些文章能给你带来收获。Java 代码审计门-01:审计前的准备Java 代码审计门-02:SQL漏洞原理与实际案例介绍。
JAVA代码审计】————4、XSS
Fly_鹏程万里
02-13 1254
前言 最近几天比较忙,没有连载文章,今天正好有时间就写写吧,连载的都是基础的漏洞,大神路过留个脚印就可以撤了,哈哈,俗话说不喜勿喷,那咱们就开干! 跨站脚本(XSS)原理 先看下百度百科对XSS的介绍: 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往W...
Java代码审计XSS漏洞
网络安全从业者的学习笔记
02-22 1119
XSS(Cross Site Scripting,为了和层叠样式表(Cascading Style Sheet,CSS)有所区分,故称XSS)跨站脚本攻击是一种针对网站应用程序的安全漏洞攻击技术。它可以实现用户会话劫持、钓鱼攻击、恶意重定向、点击劫持、挂马、XSS蠕虫等。 XSS攻击类型可以分为:反射型、存储型、DOM型。
代码审计(Java)——WebGoat_Xss
weixin_45260839的博客
08-16 818
代码审计(Java)——WebGoat_Xss
Java代码审计(6)XSS审计思路
划水的小白白
01-25 1173
0、前言 0.1 XSS的审计思路 0.2 补充一些知识 1、反射型XSS审计 2、存储型XSS审计 2.1、搭建项目: 2.2、审计 3、存在过滤的XSS项目 4、XSS的修复 4.1、XSS的修复的主要分为两点:
JAVA代码审计XSS漏洞
leah126的博客
03-02 1098
Part1 漏洞案例demo:没有java代码审计XSS漏洞拿赏金的案例。所以将就看看demo吧漏洞原理:关于XSS漏洞的漏洞原理核心其实没啥好说的,网上一查一大堆。
一次简单的XSS 代码审计
土豆的博客
08-19 595
——D&X安全实验室 0x01 代码分析: 1、首先全局搜索常被过滤函数或标签(尽量不要搜索标签,结果太多了不好筛查),此处以onclick为例,未能筛选到相关规则,可替换其他搜索: 2、以下为使用script搜索为例,审查筛选相关规则: 3、除此之外,我很还可以用搜索常见特征 ’过滤’字段搜索: 4、打开safestring.class.php可以看到之所以onclick搜不到是因为使用了正则的方式写的屏蔽on开头诸多函数: 5、寻找对应的XSS过..
代码审计——XSS
红队是青春
11-09 1678
代码审计——XSS篇(DVWA) 反射型XSS 反射型XSS——low级别 代码如下: 意思:函数"name",为可控,传一个可控的变量值,不等于null空值,则直接echo输出固定语句Hello,加上所输的可控变量值,无任何过滤。 框中输:<script>alert('xss')</script> 反射型XSS——Medium级别 代码如下: 意思:同上,但传时做了一些处理,多了一个str_replace()函数进行一个过滤,是将标签’script’进行过滤后再输
java审计_Java 审计之xss审计要点
weixin_39823459的博客
02-25 154
Java 审计之xss审计要点0x00 前言上篇文章讲了xss的一个简单审计,这篇文章可以来复盘一下上篇文章内容在上篇文章基础上做一个详细说明,以及其他的一些审计姿势。0x01 审计流程根据上篇文章来总结一下,我们首先是全局搜索了request.setAttribute 这个共享到request域的方法,查看他的传值类型,再跟踪到他的实体类里面,查看实体类中哪些地方是String类型的变量。只有S...
代码审计中的XSS
weixin_30726161的博客
03-10 242
0x00 背景 XSS漏洞也叫跨站脚本攻击,是Web漏洞中最常见的漏洞,原理与SQL注相似,通过来自外部的输直接在浏览器端触发。XSS漏洞通常被侵者用来窃取Cookie等,本文以代码审计的形式研究XSS攻击原理、挖掘形式、防御方案及缺陷。 0x01 XSS攻击原理 我们看下面一段代码: 1 <?php 2 3 // Is there any input? ...
代码审计XSS
A_991128a的博客
03-08 758
本篇为代码审计系列的第一篇《代码审计XSS》,预计本系列为30篇左右。XSS问题在代码中产生的主要原因在于,后端在接收前端用户传来的变量值时,没有经过过滤和校验,而直接进行了返回显示,或者是直接存到了数据库,下次页面显示从数据库读取时又直接进行了显示,从而造成了XSS
Java代码审计连载之—XSS
weixin_30719711的博客
09-19 297
本文原创作者:黑客小平哥,本文属i春秋原创奖励计划,未经许可禁止转载! 前言 最近几天比较忙,没有连载文章,今天正好有时间就写写吧,连载的都是基础的漏洞,大神路过留个脚印就可以撤了,哈哈,俗话说不喜勿喷,那咱们就开干! 跨站脚本(XSS)原理 先看下百度百科对XSS的介绍: 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Casca...
java xss代码审计
12-15
Java中的XSS攻击是指攻击者通过在Web页面中注恶意脚本,使其在用户浏览页面时执行恶意脚本,从而达到攻击的目的。下面是Java代码审计中防范XSS攻击的一些方法: 1. 对用户输的数据进行过滤和转义,例如将特殊字符转义为HTML实体,可以使用OWASP推荐的ESAPI库来实现。 2. 使用安全的输出方法,例如JSTL的<c:out>标签或Spring框架的htmlEscape函数。 3. 使用HttpServletResponse的setHeader方法设置Content-Security-Policy头,限制页面中可以加载的资源。 4. 使用X-XSS-Protection头,启用浏览器内置的XSS保护机制。 5. 使用X-Content-Type-Options头,禁止浏览器对响应内容进行MIME类型猜测,防止MIME类型欺骗攻击。 6. 使用HttpOnly和Secure标志设置cookie,防止cookie被窃取。 7. 对于富文本编辑器等需要支持HTML标签的输框,可以使用第三方库进行过滤,例如jsoup。 下面是一个使用ESAPI库进行HTML实体转义的例子: ```java import org.owasp.esapi.ESAPI; import org.owasp.esapi.errors.EncodingException; public class XssUtils { public static String encode(String input) { try { return ESAPI.encoder().encodeForHTML(input); } catch (EncodingException e) { e.printStackTrace(); return input; } } } ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值