Java-web安全01
学习书籍: Web应用安全权威指南http请求时对于中文参数大概特殊符号是颠末URL编码(英文颠末URL编码后不变)后才传输,在Java中可用java.net.URLEncoder类进行编码大概解码,URL编码又称百分号编码
百分号编码是将字符以字节为单位转换成 %xx 的情势。xx 为该字节的十六进制写法。参照如下代码示例
public static void main(String[] args) throws UnsupportedEncodingException {
System.out.println(URLEncoder.encode("德", "UTF-8"));
byte[] bytes = "德".getBytes(StandardCharsets.UTF_8);
System.out.println(bytesToHex(bytes));
}
public static String bytesToHex(byte[] bytes) {
StringBuilder result = new StringBuilder();
for (byte b : bytes) {
result.append(String.format("%02X", b));
}
return result.toString();
}
同源计谋-跨站攻击
协议,host,端口号3个保持同等即为同源计谋,JavaScript的跨域访问受到同源计谋的严酷限制
假如不存在同源计谋,使用JavaScript可以在iframe外层访问内层的数据及其伤害
可以进行跨域访问的元素
1.frame和iframe元素可以进行跨域访问,X-FRAME-OPTIONS 被定义在响应头信息中用来限制frame和iframe的跨域访问,值为 DENY(拒绝)或 SAMEORIGIN(仅限同源)
2.img元素
3.script元素
4.form元素的action属性—CSRF攻击
5.CSS元素,高版本欣赏器一般都有安全补丁已经解决该问题,
https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=C%3A%5CUsers%5Clltt9%5CDesktop%5C85033b38-6dc8-45a1-8a1f-1513e810df2d.jpg&pos_id=img-TjdRDQhY-1734615671333
输入处置处罚
对输入值做如下处置处罚
字符串标准化
Unicode标准答应同一个字符有多种表示情势,表现是一样,但在计算机内部表示不同,避免比力字符串大概搜索操纵出现不精确效果,Java中字符串标准化使用Normalizer
String normalized = Normalizer.normalize(input, Normalizer.Form.NFKC);
字符编码校验
1.检验字符编码有用性
2.须要时转换字符编码
3.校验参数字符串的有用性
校验输入值格式
页面表现
XSS攻击
攻击方式:
1.窃取Cookie,document.getCookie
2.篡改网页-更改原先HTML元素,提交数据跳转到新的url
场景1
产生原因:HTML中字符没有被转义
解决办法:
1.元素内容中转义<和&
2.属性值用双引号括起来,转义<和"和&
示例:
前端传入”
24 “ 字符串,后台原样输出,页面就不是预期边幅
处置处罚办法:
对字符串进行转义处置处罚-发起使用Apache Common-Text库中StringEscapeUtils.escapeHtml4(userInput);
注意点:
1.@RequestParam 传参 和@RequestBody传参 两种方式 在filter过滤写法不同
2.注意对于文件上传下载接口不要进行xssfilter过滤,否则会功能异常.文件上传和下载请求会使用multipart/form-data内容类型,通过这个区分平凡请求和文件上传下载请求
代码:
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
public class XssFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
if (isMultipartContent(request)) {
// 对于文件上传请求不做XSS过滤
filterChain.doFilter(request, response);
} else {
// 对其他类型的请求进行XSS过滤
XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
filterChain.doFilter(xssRequest, response);
}
}
private boolean isMultipartContent(HttpServletRequest request) {
String contentType = request.getContentType();
return contentType != null && contentType.toLowerCase().startsWith("multipart/");
}
}
import org.apache.commons.lang3.StringEscapeUtils;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.nio.charset.StandardCharsets;
import com.alibaba.fastjson.JSON;
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
@Override
public String getParameter(String name) {
return cleanXss(super.getParameter(name));
}
@Override
public String[] getParameterValues(String name) {
String[] values = super.getParameterValues(name);
if (values == null || values.length == 0) {
return values;
}
String[] cleanValues = new String;
for (int i = 0; i < values.length; i++) {
cleanValues = cleanXss(values);
}
return cleanValues;
}
@Override
public ServletInputStream getInputStream() throws IOException {
final byte[] body = IOUtils.toByteArray(super.getInputStream());
String jsonBody = new String(body, StandardCharsets.UTF_8);
if (jsonBody != null && !jsonBody.trim().isEmpty()) {
jsonBody = cleanJson(jsonBody);
return new DelegatingServletInputStream(new ByteArrayInputStream(jsonBody.getBytes(StandardCharsets.UTF_8)));
}
return super.getInputStream();
}
private String cleanXss(String value) {
if (value == null || value.isEmpty()) {
return value;
}
return StringEscapeUtils.escapeHtml4(value);
}
private String cleanJson(String json) {
JSON parsedJson = JSON.parseObject(json);
return JSON.toJSONString(parsedJson, (key, object) -> cleanXss(object.toString()));
}
}
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
@Configuration
public class WebConfig {
@Bean
public FilterRegistrationBean<XssFilter> xssFilter() {
FilterRegistrationBean<XssFilter> registrationBean = new FilterRegistrationBean<>();
registrationBean.setFilter(new XssFilter());
registrationBean.addUrlPatterns("/*");
return registrationBean;
}
}
场景2
使用JavaScript URI”或“JavaScript URL进行的xss攻击
href和src中url路径中
<body>
<a href="javascript:alert(document.cookie)"> 书签 </a>
</body>
解决办法:
校验url仅答应http和https协议,属性值也要进行HTML转义
SQL注入
示例:
select * from A where a = ${param},传入 1; select * from users
实验sql为select * from A where a = 1; select * from users,实验了2个sql
产生原因:一部门参数越过了字面量范围
解决办法:防止指定的参数一部门被排除字面量内
占位符–将 值赋给? 的过程叫绑定变量
select * from A where a = ?
占位符分为静态占位符和动态占位符,前者将包罗占位符的sql和变量发到数据库引擎后再进行绑定变量
后者在步伐内进行包罗占位符的sql和变量绑定后得到完整sql再发到数据库引擎中实验
关键处置处罚
CSRF攻击
举例:
用户A登录平台B,A打开恶意网站C不小心实验脚本,网站C带着A在B平台的认证信息去请求平台B如修改密码等等恶意操纵
常用解决办法:
CSRF Token 唯一的随机值返回给用户,用户请求时必须携带Token才有用
文件处置处罚
目录遍历攻击
示例:
外界传入文件名"…/…/etc/a.txt"
访问了不该问路径下文件
解决办法:
1.避免由外界指定文件名
2.文件名中不答应包罗目录名
3.限定文件名中仅包罗字母和数字
4.校验拼接后路径是否答应访问
5.对文件及文件夹设置访问权限
OS下令注入
满足条件:
1.步伐内有调用shell函数的地方
2.将外部传入参数转达给调用shell函数
3.参数中shell的元字符没有被转义
解决办法:
上面三条不满足即可
文件上传下载漏洞
示例:
1.上传巨大文件造成Dos攻击
2.上传脚本文件,诱使用户下载恶意文件,伪装恶意文件为html使欣赏器里默认实验JavaScript
3.越权下载
4.上传脚本文件,使其在服务器中实验
防范:
1.限制上传文件大小
2.限制上传文件类型,敏感文件避免保存在公开目录
3.校验上传文件真实文件类型(校验文件头),防止修改后缀
4.拼接后路径是否答应访问
5.对文件及文件夹设置访问权限
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]