解決SQL盲註和跨站腳本攻擊
阿新 • • 發佈:2017-08-10
replace req servlet get extends turn lac batis void
今天測試用IBM的AppScan,對系統進行測試,發現了系統的安全漏洞,分別是SQL盲註和跨站腳本攻擊,這兩種安全隱患都是利用參數傳遞的漏洞趁機對系統進行攻擊。截圖如下:
解決方案(參考網上的例子):自己寫一個 Filter,使用 Filter 來過濾瀏覽器發出的請求。對每個 post 請求的參數過濾一些關鍵字,替換成安全的,例如:< > ‘ " \ / # & 。方法是實現一個自定義的 HttpServletRequestWrapper,然後在 Filter 裏面調用它,替換掉 getParameter 函數即可,具體步驟如下。
首先,在後臺添加一個 XssHttpServletRequestWrapper 類,代碼如下。
package com.iss.sas.web.base; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) { super(servletRequest); } public String[] getParameterValues(String parameter) { String[] values = super.getParameterValues(parameter); if (values==null) { return null; } int count = values.length; String[] encodedValues = new String[count];for (int i = 0; i < count; i++) { encodedValues[i] = cleanXSS(values[i]); } return encodedValues; } public String getParameter(String parameter) { String value = super.getParameter(parameter); if (value == null) { return null; } return cleanXSS(value); } public String getHeader(String name) { String value = super.getHeader(name); if (value == null) return null; return cleanXSS(value); } private String cleanXSS(String value) { //You‘ll need to remove the spaces from the html entities below value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;"); value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;"); value = value.replaceAll("‘", "& #39;"); value = value.replaceAll("eval\\((.*)\\)", ""); value = value.replaceAll("[\\\"\\\‘][\\s]*javascript:(.*)[\\\"\\\‘]", "\"\""); value = value.replaceAll("script", ""); return value; } }
然後,同樣在後臺添加一個過濾器 XssFilter,具體代碼如下。
package com.iss.sas.web.base; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; public class XssFilter implements Filter { FilterConfig filterConfig = null; public void init(FilterConfig filterConfig) throws ServletException { this.filterConfig = filterConfig; } public void destroy() { this.filterConfig = null; } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { chain.doFilter(new XssHttpServletRequestWrapper( (HttpServletRequest) request), response); } }
最後,在 web.xml 裏面配置一下,所有請求的 getParameter 會被替換,如果參數裏面含有敏感詞會被替換掉。
<filter>
<filter-name>XssSqlFilter</filter-name>
<filter-class>com.iss.sas.web.base.XssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XssSqlFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
總結:雖然MyBatis使用占位符的方式接收參數傳遞,為SQL盲註提供了很好的解決方案,但這只是避免了一部分問題,用戶還可以利用參數作為切入點,對網站進行非法攻擊,所以還要考慮到對參數的危險字符進行過濾和攔截。
解決SQL盲註和跨站腳本攻擊