摘要:注入編碼技巧前端的轉(zhuǎn)義是必不可少的,為了防止抓包修改參數(shù)值,我們重點(diǎn)放在后端。為了契合前后分離的說法。所以請(qǐng)不要認(rèn)為可以預(yù)防,這是一種錯(cuò)誤的理解目前存儲(chǔ)的方式有以下幾種存取優(yōu)點(diǎn)不易遭受可設(shè)置弊端易遭受。
前端攻擊主要包括XSS(跨站腳本攻擊)、CSRF(跨站請(qǐng)求偽造)、SQL注入?!癗oodles”的技術(shù)周刊 中有詳細(xì)解釋。
一、XSS&SQL注入它們的發(fā)生是在用戶惡意輸入和抓包修改情況下,由于前后端沒有做字符過濾,導(dǎo)致惡意代碼的執(zhí)行。
1、XSS&SQL注入編碼技巧前端的轉(zhuǎn)義是必不可少的,為了防止抓包修改參數(shù)值,我們重點(diǎn)放在后端。網(wǎng)上有個(gè)XSSProject,地址為:http://yunjiechao-163-com.ite...,其中封裝好了一些功能,特別方便。。。
也可以用下面的代碼:
/** * * XSS過濾 * @author Alex * */ public class XSSFilter implements Filter{ public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2) throws IOException, ServletException { // TODO Auto-generated method stub HttpServletRequest request = (HttpServletRequest) arg0; HttpServletResponse response = (HttpServletResponse) arg1; XssAndSqlHttpServletRequestWrapper xssRequest = new XssAndSqlHttpServletRequestWrapper(request);//采用包裝器過濾掉惡意字符 arg2.doFilter(xssRequest, response); } }
/** * * XSS包裝器 * @author Alex * */ public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper { private Logger log = Logger.getLogger(getClass()); private HttpServletRequest orgRequest = null; public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) { super(request); orgRequest = request; } @Override public String getParameter(String name) { String value = null; try { //不過濾菜單 if(!name.equals("menuHtml")){//自己的菜單,無視掉 value = super.getParameter(xssEncode(name)); if (value != null) { value = URLDecoder.decode(value, Constant.UTF);//處理中文亂碼 value = xssEncode(value); } }else{ value = super.getParameter(name); } } catch (UnsupportedEncodingException e) { // TODO Auto-generated catch block e.printStackTrace(); log.error(e.getMessage()); } return value; } @Override public String getHeader(String name) {//請(qǐng)求頭也可能插入 String value = null; try { value = super.getHeader(xssEncode(name)); if (value != null) { value = xssEncode(value); } } catch (Exception e) { // TODO Auto-generated catch block e.printStackTrace(); log.error(e.getMessage()); } return value; } private static String xssEncode(String s) {//替換成中文字符 if (s == null || s.isEmpty()) { return s; }else{ s = stripXSSAndSql(s); } StringBuilder sb = new StringBuilder(s.length() + 16); for (int i = 0; i < s.length(); i++) { char c = s.charAt(i); switch (c) { case ">": sb.append(">");// 轉(zhuǎn)義大于號(hào) break; case "<": sb.append("<");// 轉(zhuǎn)義小于號(hào) break; case """: sb.append("'");// 轉(zhuǎn)義單引號(hào) break; case """: sb.append(""");// 轉(zhuǎn)義雙引號(hào) break; case "&": sb.append("&");// 轉(zhuǎn)義& break; case "#": sb.append("#");// 轉(zhuǎn)義# break; default: sb.append(c); break; } } return sb.toString(); } public HttpServletRequest getOrgRequest() { return orgRequest; } public static HttpServletRequest getOrgRequest(HttpServletRequest req) { if (req instanceof XssAndSqlHttpServletRequestWrapper) { return ((XssAndSqlHttpServletRequestWrapper) req).getOrgRequest(); } return req; } public static String stripXSSAndSql(String value) { if (value != null) { // Avoid anything between script tags Pattern scriptPattern = Pattern.compile("<[ | | ]*script[ | | ]*>(.*?)[ | | ]*script[ | | ]*>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); // Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e-xpression scriptPattern = Pattern.compile("src[ | | ]*=[ | | ]*["|"](.*?)["|"]", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // Remove any lonesome tag scriptPattern = Pattern.compile("[ | | ]*script[ | | ]*>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); // Remove any lonesome ,如果Chrome沒有顯示彈出,請(qǐng)?jiān)O(shè)置:上圖的設(shè)置會(huì)取消瀏覽器的xss-auditor啟動(dòng)(一種瀏覽器內(nèi)建的xss防御模塊,可阻止大多數(shù)反射型xss)。如果不想使用上圖的方式啟動(dòng),可以將服務(wù)端代碼改為:
@app.route("/hello-injection") def hello_inject(): person = {"name": "asd", "secret": "aaaaaaaaaaa"} if request.args.get("name"): person["name"] = request.args.get("name") template = """Hello %s
""" % person["name"] response = make_response(person["name"]) response.headers["X-XSS-Protection"] = "0" # xss auditor關(guān)閉 return response將xss-auditor關(guān)閉可以彈出。如果開啟呢?還能彈出嗎?修改成以下代碼:
@app.route("/hello-injection") def hello_inject(): person = {"name": "asd", "secret": "aaaaaaaaaaa"} if request.args.get("name"): person["name"] = request.args.get("name") template = """Hello %s
""" % person["name"] response = make_response(person["name"].replace(">", ">;")) response.headers["X-XSS-Protection"] = "1" # xss auditor開啟 return response竟然可以彈出。。。這里介紹下auditor的:
通常情況下,我們都會(huì)對(duì)用戶提交的數(shù)據(jù)進(jìn)行一些處理,如果這些處理導(dǎo)致和提交的內(nèi)容不一樣了,但是仍然可以執(zhí)行,比如像本例一樣。那么xss auditor 就無能為力了。不過xss auditor本身的智能度也挺高,像字符編碼,大小寫變化這種變化依然躲不過xss auditor。二、CSRF 1、Referer在過濾器或攔截器中判讀請(qǐng)求頭的Referer值,如果同域名就可以繼續(xù)訪問,否則請(qǐng)求被攔截。
String referer = request.getHeader("Referer"); if(referer.startsWith("http://www.xxx.com")){ chain.doFilter(request, response); }else{ return ; }弊端:有些網(wǎng)站或用戶會(huì)停用Referer,所以上面這種方式會(huì)導(dǎo)致正常用戶也不能訪問系統(tǒng)。
2、Token這種方式用的最多,是將Token作為每次請(qǐng)求的參數(shù)來驗(yàn)證請(qǐng)求是否有效。
弊端:黑客可通過發(fā)送用戶鏈接,盜取Token值。
3、JWT為何用JWT?
白話意思是用戶的信息可放在客戶端保存,代替之前服務(wù)器session的保存方式。為了契合前后分離的說法。所以請(qǐng)不要認(rèn)為JWT可以預(yù)防CSRF,這是一種錯(cuò)誤的理解!
目前存儲(chǔ)JWT的方式有以下幾種:
1、Cookie存取
優(yōu)點(diǎn):不易遭受XSS(可設(shè)置HttpOnly)
弊端:易遭受CSRF。
2、LocalStorage
優(yōu)點(diǎn):不產(chǎn)生CSRF、存儲(chǔ)量大
缺點(diǎn):易遭受XSS、難清除(Android機(jī)很難清除)
3、YOU stick the (JWT) token in the Authorization HTTP header of a request.這是http://stackoverflow.com/描述的一種方法。
總結(jié)起來就是各有優(yōu)缺點(diǎn)。個(gè)人覺得CSRF較難防御,看個(gè)人輕重程度了。
下面是代碼:
其中有些是自己項(xiàng)目的邏輯,請(qǐng)需修改。
/** * * @author Alex * */ public class JWTFilter implements Filter{ private Logger log = Logger.getLogger(getClass()); public void destroy() { // TODO Auto-generated method stub } public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2) throws IOException, ServletException { // TODO Auto-generated method stub HttpServletRequest request = (HttpServletRequest) arg0; HttpServletResponse response = (HttpServletResponse) arg1; AttributePrincipal principal = (AttributePrincipal) request.getUserPrincipal(); try { String jwt = null; Cookie[] cookies = request.getCookies(); for(Cookie cookie:cookies){ if(cookie.getName().equals("jwt")){ jwt = cookie.getValue(); break; } } String referer = request.getHeader("Referer"); String userName = (String) principal.getName(); if(referer!=null&&referer.indexOf("/XXX/login")!=-1&&jwt==null){//登錄時(shí)設(shè)置JWT及判斷Cookie中有無JWT jwt = JWTWrapper.createJWT(userName);//userName單點(diǎn)登錄用戶名 response.addHeader("Set-Cookie", "jwt="+jwt+";Path=/;HttpOnly");//防止JS獲取Cookie }else{ int judge = JWTWrapper.judgeJWT(jwt, userName);//判斷JWT是否過期 if(judge==-1){//被篡改 return ; }else if(judge==0){//過期或?qū)⒁^期 String jwt_new = JWTWrapper.createJWT(userName); response.addHeader("Set-Cookie", "jwt="+jwt_new+";Path=/;HttpOnly"); } } arg2.doFilter(request, response); } catch (Exception e) { // TODO: handle exception e.printStackTrace(); log.error(e.getMessage()); } } public void init(FilterConfig arg0) throws ServletException { // TODO Auto-generated method stub } }/** * * JWT包裝器 * @author Alex * */ public class JWTWrapper { private static String iss = "XXX";//簽發(fā)者 private static Long exp_add = Long.valueOf(30*60*1000);//過期時(shí)間半小時(shí) private static String des_key = "XXXXXXX";//des密鑰 /** * 創(chuàng)建JWT * @param aud 接收方 */ public static String createJWT(String aud){ String jwt = null; try { Long iat = System.currentTimeMillis();//簽發(fā)時(shí)間,應(yīng)該用秒 String header = "{"typ":"JWT","alg":"DES"}";//頭部 String payload = "{"iss":""+iss+"","aud":""+aud+"","iat":"+iat+","exp":"+(iat+exp_add)+"}";//載荷 String signature = null;//簽名 header = Base64.encodeBase64URLSafeString(header.getBytes(Constant.UTF)); payload = Base64.encodeBase64URLSafeString(payload.getBytes(Constant.UTF)); signature = DesUtil.encrypt(header+"."+payload, des_key);//可用其它加密 jwt = header+"."+payload+"."+signature; } catch (Exception e) { // TODO: handle exception e.printStackTrace(); System.out.println(e.getMessage()); } return jwt; } /** * 驗(yàn)證JWT * @param jwt * @param aud 接收方 * @return */ public static int judgeJWT(String jwt,String aud){ int judge = -1;//-1:篡改的JWT try { if(jwt!=null&&jwt.indexOf(".")!=-1){//分割JWT String[] strs = jwt.split("."); String signature_new = strs[0]+"."+strs[1]+"."+DesUtil.encrypt(strs[0]+"."+strs[1], des_key);//簽名 if(signature_new.startsWith(jwt)){//未被篡改 String payload = new String(Base64.decodeBase64(strs[1]), Constant.UTF);//載荷 JSONObject JO = JSONObject.fromObject(payload); if(JO.getString("iss").equals(iss)&&JO.getString("aud").equals(aud)){ Long exp = JO.getLong("exp"); Long iat = System.currentTimeMillis();//簽發(fā)時(shí)間 if(exp>iat&&(exp-iat)>1*60*1000){//過期時(shí)間>1分鐘 judge = 1;//正常,不需更新JWT }else{ judge = 0;//JWT過期或?qū)⒁^期 } } } } } catch (Exception e) { // TODO: handle exception e.printStackTrace(); System.out.println(e.getMessage()); } return judge; } }先這樣吧,不太會(huì)寫文章,希望大家海涵。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/88063.html
摘要:注入編碼技巧前端的轉(zhuǎn)義是必不可少的,為了防止抓包修改參數(shù)值,我們重點(diǎn)放在后端。為了契合前后分離的說法。所以請(qǐng)不要認(rèn)為可以預(yù)防,這是一種錯(cuò)誤的理解目前存儲(chǔ)的方式有以下幾種存取優(yōu)點(diǎn)不易遭受可設(shè)置弊端易遭受。 前端攻擊主要包括XSS(跨站腳本攻擊)、CSRF(跨站請(qǐng)求偽造)、SQL注入。Noodles的技術(shù)周刊 中有詳細(xì)解釋。 一、XSS&SQL注入 它們的發(fā)生是在用戶惡意輸入和抓包修改情...
摘要:注入編碼技巧前端的轉(zhuǎn)義是必不可少的,為了防止抓包修改參數(shù)值,我們重點(diǎn)放在后端。為了契合前后分離的說法。所以請(qǐng)不要認(rèn)為可以預(yù)防,這是一種錯(cuò)誤的理解目前存儲(chǔ)的方式有以下幾種存取優(yōu)點(diǎn)不易遭受可設(shè)置弊端易遭受。 前端攻擊主要包括XSS(跨站腳本攻擊)、CSRF(跨站請(qǐng)求偽造)、SQL注入。Noodles的技術(shù)周刊 中有詳細(xì)解釋。 一、XSS&SQL注入 它們的發(fā)生是在用戶惡意輸入和抓包修改情...
摘要:注入編碼技巧前端的轉(zhuǎn)義是必不可少的,為了防止抓包修改參數(shù)值,我們重點(diǎn)放在后端。為了契合前后分離的說法。所以請(qǐng)不要認(rèn)為可以預(yù)防,這是一種錯(cuò)誤的理解目前存儲(chǔ)的方式有以下幾種存取優(yōu)點(diǎn)不易遭受可設(shè)置弊端易遭受。 前端攻擊主要包括XSS(跨站腳本攻擊)、CSRF(跨站請(qǐng)求偽造)、SQL注入。Noodles的技術(shù)周刊 中有詳細(xì)解釋。 一、XSS&SQL注入 它們的發(fā)生是在用戶惡意輸入和抓包修改情...
摘要:攻擊方式端口掃描攻擊洪水攻擊洪水攻擊跳轉(zhuǎn)攻擊防范手段保證服務(wù)器系統(tǒng)的安全確保服務(wù)器軟件沒有任何漏洞,防止攻擊者入侵。 前端需要知道的web安全知識(shí) 標(biāo)簽(空格分隔): 未分類 安全 [Doc] Crypto (加密) [Doc] TLS/SSL [Doc] HTTPS [Point] XSS [Point] CSRF [Point] 中間人攻擊 [Point] Sql/Nosql ...
摘要:攻擊方式端口掃描攻擊洪水攻擊洪水攻擊跳轉(zhuǎn)攻擊防范手段保證服務(wù)器系統(tǒng)的安全確保服務(wù)器軟件沒有任何漏洞,防止攻擊者入侵。 前端需要知道的web安全知識(shí) 標(biāo)簽(空格分隔): 未分類 安全 [Doc] Crypto (加密) [Doc] TLS/SSL [Doc] HTTPS [Point] XSS [Point] CSRF [Point] 中間人攻擊 [Point] Sql/Nosql ...
閱讀 2097·2021-10-08 10:21
閱讀 2490·2021-09-29 09:34
閱讀 3504·2021-09-22 15:51
閱讀 4946·2021-09-22 15:46
閱讀 2323·2021-08-09 13:42
閱讀 3445·2019-08-30 15:52
閱讀 2733·2019-08-29 17:13
閱讀 1563·2019-08-29 11:30