WEB安全实战(五)XSS 攻击的另外一种解决方案(推荐)
来源:互联网 发布:网络大电影成本 编辑:程序博客网 时间:2024/06/05 16:30
序
说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对最近工作中的一些新的问题。那么之前是怎么解决这个问题的呢?为什么又要换解决方案?下面就详细的跟大家分享一下。
旧方案
公司的测试团队发现这个问题之后,就要求尽快的解决,在网上查了很多相关的资料,也翻阅了基本安全方面的书,基于 XSS 的攻击原理,自己写了一个 Filter,并在该 Filter 中加入了对各种请求的处理代码。首先是拦截浏览器发出的请求,然后对拦截到的请求进行过滤,获取参数列表,参数值列表(包括表单提交),然后对这些参数值进行危险字符的过滤处理,处理的过程中分为两种情况。
其中一种是把危险字符进行转换,保留原来的语意,在适当的时候进行还原,当然,这种情况下危险字符还是存在的,只不过是换了一种相对安全的形式。这种情况的好处是,保证了请求的原始性,但是对数据库或文件系统产生一些不必要的垃圾信息。为什么这么说呢,因为普通的用户在正常的操作下是不会包含这些非法字符的,只有在非法入侵的情况下才会出现这种情况,而对于危险字符的转换就是一种间接的保护措施。
对于第二种情况,不是对危险字符进行转换,而是把请求中的危险字符进行过滤,使得请求纯净化,把非法的字符过滤掉,这样以来,进入数据库或文件系统的就仅仅是合法的语句。这种情况也会有他的利弊。比如,在过滤的过程中,可能把用户的某些正常请求参数值也给清理掉,这样就不能保证请求的原始性。但系统的安全性方面却大大的提高了。为了避免用户的请求失真,我们能做的就是尽量的避开用户可以输入的特殊字符,在注册、登录、或者其他的请求中,规定用户可以使用的特殊字符,对那些不提倡使用的字符进行过滤和处理。
问题
在旧的的方案提交给测试团队之后,很大一部分的 XSS 攻击问题已经不存在了,但又出现了另外一个问题,在登录的过程中,偶尔会把验证码给过滤掉,还有一些不定的 URL 会时不时的漏掉,虽然在 web.xml 配置了全局的请求,但还是会出现这样的问题。测试团队给出的报告中显示,还有少量的 XSS 攻击存在,让我尽快解决。
针对这个问题,我又研究了问题所在区域的源代码,并结合自己写的 XSSFilter,发现了2点问题。
其一,是后台的验证逻辑并不完整,对于提交过来的请求,并没有进行相应的处理。
其二,是 XSSFilter 写的有问题,正如我上面讲到的情况一,只是把危险字符进行转换,并没有从根本上解决问题。
俗话说,久病成良医。那么,总想着一件事,问题解决起来也总会是事半功倍的。
新方案
对于出现的问题,我这里有两点需要说,其一就是针对后台的验证逻辑,这个没有必要再详细说了,无非就行完善验证逻辑,针对可能出现的情况进行抽象,抽出通用的验证逻辑,对于个别的验证就单独处理,不过还是要考虑代码的复用性。
其二,是关于 XSS 攻击全局处理的。我这里给出两种解决方案,详述如下。
方案一
如果你遇到的情况,对与用户的输入、输出有明确的限制,而且对于特殊字符也有明确的规定,那么你可以自己写一个 XSSFilter,使用上面提到的情况二,对不建议输入的特殊字符进行过滤和清理,包括 SQL 注入的一些敏感信息,都是要过滤掉的。基本的 Filter 网上都有,你要做的就是针对自己的业务,再加入对危险字符的处理即可。
方案二
想到一句老话,站在巨人的肩膀上。第二种方案,就是站在巨人的肩膀上。推荐一款开源插件,xssProject,具体作者不详。GoogleCode 中提供相应了的源代码。想研究的可以自己去找一下。下面着重讲一下,如何在项目中集成 xssProject,并使之为我们服务。
首先,项目中需要引入 xssProtect-0.1.jar、antlr-3.0.1.jar、antlr-runtime-3.0.1.jar 等3个 jar 包。
然后,封装 request,代码如下。
再然后,创建过滤器 NewXssFilter 。
结束语
以上这些就是全部的内容了,针对 XSS 攻击的解决方案,写出来跟大家分享,个人建议使用 xssProject 来解决这一问题。毕竟 xssProject 已经提供了很完善的过滤、处理方案,你可以通过研究他的代码来进行扩展,如果需要的话。最后附上 xssProject 所需的三个 jar 包。
xssProject 下载
阅读全文
0 0
- WEB安全实战(五)XSS 攻击的另外一种解决方案(推荐)
- WEB安全实战(五)XSS 攻击的另外一种解决方案(推荐)
- WEB安全实战XSS 攻击的另外一种解决方案(推荐)
- WEB安全实战(三)XSS 攻击的防御
- WEB安全实战(三)XSS 攻击的防御
- WEB安全实战(三)XSS 攻击的防御
- WEB安全实战(二)带你认识 XSS 攻击
- 0124 WEB安全实战(三)XSS 攻击的防御【基础】
- 关于Web安全的那些事(XSS攻击)
- 关于Web安全的那些事(XSS攻击)
- 关于Web安全的那些事(XSS攻击)
- Struts2 过滤 xss攻击 的一种解决方案
- web安全 xss攻击
- web安全(1)-- XSS(跨站脚本攻击)
- web安全————XSS(攻击篇)
- [Web安全之实战] 跨站脚本攻击XSS
- web安全之xss 攻击
- web安全 之 xss攻击
- C++文件读写详解(ofstream,ifstream,fstream)
- JDBC规范——(5)类与接口
- MapReduce 概述
- mysql中用命令行复制表结构
- 倒杨辉三角
- WEB安全实战(五)XSS 攻击的另外一种解决方案(推荐)
- Java Number & Math 类
- 剑指offer——面试题36:数组中的逆序对
- c++文件的输入输出
- 用流实现文件的重命名复制到其他文件夹
- wxWidgets学习
- 我的第一篇博客
- 菜鸟学习FPGA第一天——疯狂的软件
- Codeforces 900C Remove Extra One