版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/PSY_God/article/details/82020220
问题:储存型Xss是由于form表单提交的数据,前端和后台未进行过滤,将一些javascript的脚步语言存入数据库中。导致再次查询数据的时候浏览器会执行该脚步语言。如:<script>alert("XSS")</script>。
解决方案:主要是后台的过滤,部分可绕过前端直接输入。
解决思路:采用过滤器过滤用户的输入,将一些敏感的信息直接replaceAll即可。过滤器过滤的数据通过过滤器链对请求的数据进行过滤。重写了getParameter("");方法。
①:定义一过滤器
public class XSSFilter implements Filter {
private static final Logger log = LoggerFactory.getLogger(Filter.class);
@Override
public void init(FilterConfig arg0) throws ServletException {
}
@Override
public void destroy() {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
log.info("XSS过滤器开始过滤:{}", request.getRemoteAddr());
chain.doFilter(new XssRequestWrappers((HttpServletRequest) request), response);
}②:写一个类继承处理请求的servlet HttpServletRequestWrapper 重写该类的几个方法。
public class XssRequestWrappers extends HttpServletRequestWrapper {
private CommonsMultiparResolver multiparResolver = new CommonsMultiparResolver();
public XssRequestWrappers(HttpServletRequest request) {
super(request);
String type = request.getHeader("Content-Type");
if (!StringUtils.isEmpty(type) && type.contains("multipart/form-data")) {
MultipartHttpServletRequest multipartHttpServletRequest = multiparResolver.resolveMultipart(request);
Map<String, String[]> stringMap = multipartHttpServletRequest.getParameterMap();
if (!stringMap.isEmpty()) {
for (String key : stringMap.keySet()) {
String value = multipartHttpServletRequest.getParameter(key);
XSSUtil.stripXSS(key);
XSSUtil.stripXSS(value);
}
}
super.setRequest(multipartHttpServletRequest);
}
}
@Override
public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = XSSUtil.stripXSS(values[i]);
}
return encodedValues;
}
@Override
public String getParameter(String parameter) {
String value = super.getParameter(parameter);
return XSSUtil.stripXSS(value);
}
@Override
public String getHeader(String name) {
String value = super.getHeader(name);
return XSSUtil.stripXSS(value);
}
@Override
@SuppressWarnings("unchecked")
public Map getParameterMap() {
HashMap<String, String[]> paramMap = (HashMap<String, String[]>) super.getParameterMap();
paramMap = (HashMap<String, String[]>) paramMap.clone();
for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext(); ) {
Map.Entry<String, String[]> entry = (Map.Entry<String, String[]>) iterator.next();
String[] values = entry.getValue();
for (int i = 0; i < values.length; i++) {
if (values[i] instanceof String) {
values[i] = XSSUtil.stripXSS(values[i]);
}
}
entry.setValue(values);
}
return paramMap;
}特别提醒:过滤数据的时候,有些数据是过滤不到的,是因为请求头(Content-Type)的原因。有的是multipart/form-data类型的,你要获取该类型并且进行转换才可以获得对应的参数,进而进行过滤修改,第二步已经中的第一个方法就是处理该请求头的方法。步骤可以看代码所示。另外一种请求头是application/x-www-form-urlencoded。这种的可以直接过滤掉,不需要采取request的转换,其他的几个请求头博主暂时没试过。
③:写一过滤敏感信息的工具类,可以根据实际情况进行过滤。网上很多例子。
public class XSSUtil {
public static String stripXSS(String value) {
if (value != null) {
value = value.replaceAll("", "");
// Avoid anything between script tags
Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid anything in a src="..." type of expression
scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
// Remove any lonesome </script> tag
scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll("");
// Remove any lonesome <script ...> tag
scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid eval(...) expressions
scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid expression(...) expressions
scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid javascript:... expressions
scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid vbscript:... expressions
scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid onload= expressions
scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
}
return value;
}
}
④:在web.xml中配置过滤器
<filter>
<filter-name>xssFilter</filter-name>
<filter-class>com.wisemax.hnrb.interceptors.XSSFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>xssFilter</filter-name>
<url-pattern>*.do</url-pattern>
</filter-mapping>完成上面四个步骤的时候,就可以正常启动项目,进行XSS的测试了。博主亲测无误!
问题二:很多时候,数据库中包含的数据存在重复的现象
如上图所示的SQL语句,出现的数据case_no 和case_type是存在重复的。那么我就认为这两个是重复的数据,只能取其中的一个数据。
解决方法:对重复的数据进行分组操作(理论上几个字段重复,就groub by几个字段,实际上会出现性能的问题。)
特别提醒:如果重复数据过多,不建议使用此方法,并且子查询的时候尽量使用索引,博主这个会全表扫描,数据多会出现查询慢的情况。