- 1【论文翻译】Many-Class Few-Shot Learning on Multi-Granularity Class Hierarchy_few-shot inductive learning on temporal knowledge
- 2JAVA关键字及含义_java关键字及其含义
- 3蓝桥杯系列1——python组真题_python蓝桥杯真题
- 4with open() as f的用法_with open as f用法
- 5Linux 学习笔记_finalshell连接进入指定目录中
- 6python计算IV值_jupyter求iv 固定十分箱
- 7TigerBot: An Open Multilingual Multitask LLM
- 8Tomcat靶机渗透_tomcat渗透
- 9nginx java插件_nginx安装插件直接对接kafka集群
- 10Tomcat+Servlet+mysql登录注册_streamlit编写登录界面
xss漏洞修复踩坑总结
赞
踩
一、前言
最近测试发现系统某个接口有个xss漏洞,比如,保存数据入库时,会把<a>标签保存入库;然后查看列表时,会把<a>标签显示出来;
说是这个漏洞可以构建恶意链接,点击会跳转到恶意网址,让修复掉。
二、修复方法:前端修复
这个问题之前也遇到过,于是就按照之前的修复方法,让前端加一个xss.js,过滤掉不合法的标签后,再把数据传给后台。
谁知道这次不行了,测试直接抓包,用postman直接给后台发送含有<a>标签的请求,结果又存入数据库了。
如果从前端输入含有<a>标签的请求,点击保存,那样前端就会用xss.js把<a>标签过滤后发给后台,是没有问题的;
但是如果抓包,直接给后台发请求,那还是存在xss.js漏洞。(而且抓包测试过分了吧,那样好多系统岂不是都有漏洞了)
三、修复方法:后端修复(springboot项目)
为了符合要求,准备在后端Controller处增加过滤器,判断,如果请求报文中的参数含有不合法标签(<a>标签等),就过滤掉这个请求,不继续处理,返回错误信息。
结果踩了一堆坑,才好不容易弄好。
先发下修复流程:
1.先写一个全局过滤器(/*),用来让HttpServletRequest.getInputStream()获取的流可以重复读取,可以参考下面的文章:
https://blog.51cto.com/u_3664660/3212696
2.再写一个拦截器,拦截指定url(/save),就是保存数据库的那个url:
这个拦截器中,会使用HttpServletRequest.getInputStream()获取请求体内容(json传递的数据,就需要这样获取);
也会使用request.getParameterNames().hasMoreElements()、request.getParameter(request.getParameterNames().nextElement())等方法,获取key-value传参中的所有value;
然后用方法pattern.matcher(value).find()匹配这些参数,如果符合匹配条件,就拦截这条请求,不继续处理,返回错误信息;
匹配规则样例为:
Pattern pattern = Pattern.compile("(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|(\\b(select|update|union|and|or|delete|insert|truncate|char|into|substr|ascii|declare|exec|count|master|drop|execute)\\b)|(<a)|(<abbr)|(<address)|(<area)|(<article)|(<aside)|(<audio)|(<b)|(<bdi)|(<bdo)|(<big)|(<blockquote)|(<br)|(<caption)|(<center)|(<cite)|(<code)|(<col)|(<colgroup)|(<dd)|(<del)|(<details)|(<div)|(<dl)|(<dt)|(<em)|(<figcaption)|(<figure)|(<font)|(<footer)|(<h1)|(<h2)|(<h3)|(<h4)|(<h5)|(<h6)|(<header)|(<hr)|(<i)|(<img)|(<ins)|(<li)|(<mark)|(<nav)|(<ol)|(<p)|(<pre)|(<s)|(<section)|(<small)|(<span)|(<sub)|(<summary)|(<sup)|(<strong)|(<strike)|(<table)|(<tbody)|(<td)|(<tfoot)|(<th)|(<thead)|(<tr)|(<tt)|(<u)|(<ul)|(<video)", 2);
- 1
这个规则是本人根据xss.js写的,意思是,如果请求数据中包含了这些非法标签,就拦截掉,返回错误信息,不让这些数据保存入数据库。
可以参考这个文章:https://blog.csdn.net/meser88/article/details/121211112
四、踩坑记录
修复方法按照上面的后端修复就没什么问题了,下面记录下踩过的坑。
1.@WebFilter和@Component一起使用导致urlPatterns不起作用
本来最开始是想写个过滤器过滤指定url的,结果发现这个过滤器过滤了所有路径的url;
后来才发现@WebFilter和@Component不能一起用,应该在过滤器里用@WebFilter,在启动类Application.java里用@ServletComponentScan去扫描那个过滤器才对。
可以参考这篇文章:https://blog.csdn.net/weixin_38152047/article/details/121244269
2.httpServletRequest.getInputStream()不能重复读取的坑
为了判断请求数据(json)是否包含非法标签,只能把流读取出来再判断;
可是在过滤器/拦截器里读取完流后,发现流没有问题、放行给Controller时,就会报错:流不能再次读取。
百度了好多方法,有给流设置mark()与reset()的,不过请求流不支持这样;
最后还是用了一个全局过滤器,封装了个HttpServletRequestWrapper类解决的。
可以参考这篇文章:https://blog.51cto.com/u_3664660/3212696
3.正则表达式拦截非法标签的坑
这个其实是个小坑;刚开始本人准备拦截<a>这样的;
后来才想到,这样不行,a标签里面是有参数的;
因此改为了拦截<a这样的,只要报文里匹配到这个,就拦截掉。
