Web应用内XSS攻击防范 - ParameterValidationFilter

最新推荐文章于 2025-05-04 23:51:52 发布
原创 最新推荐文章于 2025-05-04 23:51:52 发布 · 569 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #owasp #ParameterValidationFilter

本文详细介绍如何使用ParameterValidationFilter进行Web应用的XSS攻击防护,包括Maven项目依赖配置、web.xml过滤器设置及pvf.xml规则自定义,适用于增强应用安全性。

介绍

web应用进行xss攻击防范,常用到下面2类方法:

  • 容器(Nginx/Apache)安装WAF模块(ModSecurity)
  • 应用配置参数检查过滤器(ParameterValidationFilter)

一般来说,在容器上增加WAF模块,通用性更强,但在特殊场景下还是会用到在应用内部添加拦截器来实现xss防范。两类实现核心的逻辑实现基本上都是OWASP组织提供了开源实现,本文主要介绍 ParameterValidationFilter 的基本用法和配置。

ParameterValidationFilter

maven类型项目在pom.xml中添加如下依赖,完成拦截器实现的引入,普通项目下载jar放入lib文件夹即可。

<dependency>
    <groupId>com.matthewcasperson</groupId>
    <artifactId>parameter_validation_filter</artifactId>
    <version>1.2.1</version>
</dependency>

下一步在web.xml中添加过滤器配置,将该过滤器尽量配置在最前面,避免掉不必要的业务逻辑执行,参数检查的规则配置主要还是在configFile参数所指定的/WEB-INF/xml/pvf.xml文件中。

ParameterValidationFilter的拦截范围可以根据自身应用的具体情况进行相对应的配置,下面的示例配置为拦截了应用中所有请求。

<!-- Security: Parameter Validation Filter -->
<filter>
    <filter-name>ParameterValidationFilter</filter-name>
    <filter-class>com.matthewcasperson.validation.filter.ParameterValidationFilter</filter-class>
    <init-param>
        <param-name>configFile</param-name>
        <param-value>/WEB-INF/xml/pvf.xml</param-value>
    </init-param>
</filter>

<filter-mapping>
    <filter-name>ParameterValidationFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

pvf.xml

pvf.xml默认推荐的配置内容如下,主要配置了3个规则,顺序执行。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ParameterValidationChainDatabase>
    <EnforcingMode>true</EnforcingMode>
    <ParameterValidationChains>
        <ParameterValidationDefinition>
            <ParameterValidationRuleList>
                <ParameterValidationRule>
                    <validationRuleName>com.matthewcasperson.validation.ruleimpl.TrimTextValidationRule
                    </validationRuleName>
                </ParameterValidationRule>
                <ParameterValidationRule>
                    <validationRuleName>com.matthewcasperson.validation.ruleimpl.FailIfNotCanonicalizedValidationRule
                    </validationRuleName>
                </ParameterValidationRule>
                <ParameterValidationRule>
                    <validationRuleName>com.matthewcasperson.validation.ruleimpl.FailIfContainsHTMLValidationRule
                    </validationRuleName>
                </ParameterValidationRule>
            </ParameterValidationRuleList>
            <paramNamePatternString>.*</paramNamePatternString>
            <requestURIPatternString>.*</requestURIPatternString>
            <paramNamePatternNegated>false</paramNamePatternNegated>
            <requestURIPatternNegated>false</requestURIPatternNegated>
        </ParameterValidationDefinition>
    </ParameterValidationChains>
</ParameterValidationChainDatabase>

默认情况下,进行上述配置后即完成了应用内参数检查过滤器的安装配置工作,当请求中出现不合法的参数信息时,拦截器将会直接返回400异常(Bad Request)至前端。

除去pvf.xml文件中已经配置的paramNamePatternStringrequestURIPatternStringrequestURIPatternNegatedEnforcingMode 参数外,规则FailIfNotCanonicalizedValidationRuleFailIfContainsHTMLValidationRule 中分别还预置了几个参数(settings Map中)可以进行自定义配置,该参数在官方文档中并没有进行说明,需谨慎配置。

FailIfNotCanonicalizedValidationRule额外参数

allowBackSlash :参数中是否允许出现反斜杠\\

FailIfContainsHTMLValidationRule额外参数

allowAmpersands:参数中是否允许出现 &
allowAccents:是否对参数进行规范化(归一化)处理(Unicode规范化处理:规范化格式 D)
allowEllipsis:参数中是否允许出现 ...

上述两个规则的额外参数,默认都处于关闭false状态,如果需要启动设置,在pvf.xml对应规则(ParameterValidationRule)节点下进行对应的参数设置即可,配置方式参考如下:

<ParameterValidationRule>
   <validationRuleName>com.matthewcasperson.validation.ruleimpl.FailIfContainsHTMLValidationRule
    </validationRuleName>
    <settings>
        <entry>
            <key>allowAmpersands</key>
            <value>true</value>
        </entry>
    </settings>
</ParameterValidationRule>

参考

拦截器 ParameterValidationFilter 使用说明
安全模块:ModSecurity
OWASP CRS 规则集

XSS漏洞】XSS攻击平台-Flash攻击钓鱼
muyuchen110的博客
07-23 1021
XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混 淆,故将跨站脚本攻击缩写为 XSSXSS 是⼀种在 web 应⽤中的计算机安全漏洞,它允许恶意web⽤户将代码植⼊到 web ⽹站⾥⾯,供给其它⽤户访问,当⽤户访问到有恶意代码的⽹⻚就会产⽣ xss 攻击;同样的⽅法----ResourceHacker打开刚刚打包好的⽂件,点击Icon Group⽂件夹中的⽂。更新⽅式----》解压并更新⽂件⽽覆盖⽅式----覆盖所有⽂件!
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
参数验证 validation
weixin_30242907的博客
06-13 140
参数验证功能是基于 JSR303 实现的,用户只需标识 JSR303 标准的验证 annotation,并通过声明 filter 来实现验证。 Maven 依赖 <dependency> <groupId>javax.validation</groupId> <artifactId>validation-api</a...
Dubbo(四九):过滤器(十一)之 ValidationFilter
scofen的博客
09-02 3155
1. 概述 本文分享dubbo-filter-validation项目的 ValidationFilter 过滤器,用于服务消费者和提供者中,提供参数验证的功能。在《Dubbo 用户指南 —— 参数验证》定义如下: 参数验证功能,是基于JSR303Bean Validation 实现的,用户只需标识 JSR303 标准的验证 annotation,并通过声明 filter 来...
聊聊dubbo的ValidationFilter
chuoguo3754的博客
06-28 793
序 本文主要研究一下dubbo的ValidationFilter ValidationFilter dubbo-2.7.2/dubbo-filter/dubbo-filter-validation/src/main/java/org/apache/dubbo/validation/filter...
WEB项目中防御XSS攻击
weixin_44955769的博客
01-08 626
WEB项目中防御XSS攻击 所谓XSS攻击就是开发者在网站开发时提供了用户的输入入口中输入可执行代码或标记语言(当然本意可能只是想让用户输入文本),并且该内容能够直接在网页中执行(例如在VUE中提供的v-html指令)时,攻击者利用该漏洞,注入一些恶意代码攻击该网站的用户。 有效的XSS攻击可能造成的后果 一次有效的XSS攻击轻则导致网页乱码(通过注入HTML),重则为了搜集用户信息,攻击者甚至会在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺骗用户。一旦
web项目使用过滤器处理Xss漏洞问题
段晓舟的博客
08-29 707
1.web.xml <!-- 解决xss漏洞 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>com.mingsoft.xssFilter.XssFilter</filter-class> </filter&gt...
Web应用程序中XSS攻击的检测:一种机器学习方法-研究论文
05-20
Web应用程序和网站上的所有不同类型的网络攻击中,XSS(跨站点脚本)攻击是最常见的攻击形式之一。 XSS攻击Web安全中的一个主要问题,在OWASP(开放Web应用程序安全性项目)的前10名中排名第二。Web应用程序...
xss-labs-master.rar
05-09
总结,"xss-labs-master.rar" 是一个宝贵的XSS学习资源,它不仅涵盖了XSS的基础理论,还提供了实战经验,对于想要深入理解和防范XSS攻击的人来说,是一次难得的训练机会。通过系统地完成这二十个关卡,你将能够更好...
xss-labs-master源码
07-06
"xss-labs-master"是一个专门设计的靶场,包含了20个级别的XSS练习,旨在帮助学习者深入理解和掌握XSS攻击的原理、类型以及防御策略。通过逐步解决这些精心设计的挑战,我们可以逐步提升对XSS攻击的理解,并提升安全...
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
`xss-labs-master`是一个深入理解和实践XSS注入的绝佳平台,它涵盖了多种XSS类型和攻击方式,通过实战提升安全测试人员的技能。在解决每个挑战的过程中,参与者不仅可以掌握如何识别和利用XSS漏洞,还能学习如何有效...
WCS学习笔记(第五天) - Controller实现参数分析与验证validateParameters()
10-14 1721
1. 编写Controller接口和实现:   a.WebSphereCommerceServerExtensionsLogic >src >com.ibm.commerce.sample.commands新建MyNewDataBean.java (可从IBM教程获取),方法体主要对callingCommandName和calledByControllerCmd的set、get方法
WEB漏洞-XSS跨站之WAF绕过及安全修复
硫酸超的博客
08-17 1203
WEB漏洞-XSS跨站之WAF绕过及安全修复waf防护演示常规WAF绕过思路XSStrike自动化工具说明XSStrike主要特点反射和DOM XSS扫描Fuzz下XSS绕过WAF安全修复方案 waf防护演示 靶场:xss-labs 被安全狗拦截 分析拦截情况 分析方法: 1、通过去除关键词或关键词的其中些字母判断拦截了什么关键词,如下正常 2、分析了拦截情况可知也可能是尖括号里面如果有s、o之类的关键词其中的某个或多个字母的话就会拦截,正则表达式 3、不拦截,但是不管用 4、正常,并且可以访问
防止XSS Attack攻击的解决方案
u012874209的博客
03-21 2508
需求: 1.防止用户RequestBody里面数据包含XSS Attack代码 2.防止用户RequestURL地址中包含XSS Attack代码 解决方案及思路: 1.写个拦截器拦截用户请求,之后正则表达式去过滤RequestBody和RequestURL部分包含恶意攻击的代码。 2.具体代码如下 /** * Project Name: * File Name:Securi...
Spring常用过滤器(Filter)-CsrfFilter
Liang的博客
10-28 893
在STP中,服务器会为每个用户会话生成一个唯一的CSRF令牌,并将其与用户的会话信息相关联。然后,服务器会在发送给用户的每个表单或链接中包含这个令牌。服务器会验证令牌的有效性,如果令牌与会话中的令牌不匹配,则拒绝请求,从而防止CSRF攻击。确保在处理请求之前验证令牌的值,并拒绝与会话中的令牌不匹配的请求。1.4.2 在表单和链接中包含令牌:确保在发送给用户的每个表单和链接中都包含CSRF令牌。1.4.1 确保令牌的安全性:CSRF令牌应该具有足够的随机性和唯一性,以确保攻击者无法猜测或预测令牌的值。
[转]ModSecurity for Apache 1.8.7 用户手册
热门推荐
heiyeluren的blog(黑夜路人的开源世界)
02-21 1万+
 ModSecurity for Apache 1.8.7 用户手册 Copyright © 2002-2005 Ivan Ristic http://www.modsecurity.org  中文版: 我爱臭豆腐,sakulagi,Alan.Jin     http://www.chinaunix.net 中文版备注:随着使用apache得人越来越多,和使用web
安装mod-security
jiangxinyu的专栏
01-04 2093
现在我们安装mod-security,debian下同样很简单,并且自动把模块加到httpd.conf里[root@debian /]apt-get install libapache-mod-security默认这个模块是没激活的,编辑一下httpd.conf文件并去掉下面这行的注释LoadModule security_module /usr/lib/apache/1.3/mod_securi
Web安全——XSS攻击以及防御
mapbar_front的博客
06-13 1472
XSS(跨站脚本攻击XSS——Cross site scripting 这是最常见的一种web安全问题。引起这种问题的原因是什么呢?主要是由于不合理的数据引起的。 &amp;amp;amp;lt;div&amp;amp;amp;gt; { content } &amp;amp;amp;lt;/div&amp;amp;amp;gt; 一般这样的页面结构,我们的页面解析出来的期望是这样的。 &amp;amp;amp;lt;div&amp;
dubbo 参数校验-ValidationFilter
最新发布
zzw_17600691357的博客
05-04 586
实现Filter接口// 使用@Activate注解指定Filter生效场景// order属性控制执行顺序,值越小,优先级越高@Override‌声明SPI扩展‌。
Web应用防御XSS攻击:原理、危害与防护策略
跨站脚本攻击(XSS)是Web应用安全领域中的一个关键话题,它是最常见的Web漏洞之一。XSS的全称是Cross-Site Scripting,是指恶意攻击者通过在Web页面中注入恶意的HTML、JavaScript或CSS代码,当用户浏览这些页面时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值