AntiSamy为owasp针对xss提供的处理库,可以配置xml策略来决定过滤的内容,比如标签、属性、css等,自定义策略给开发人员使用成本比较高,AntiSamy也提供了几个内置的策略,其安全级别也不同,过滤的内容也不一样,下边是针对自带的策略的测试。

测试代码:

package com.didichuxing.hive.client;

import org.owasp.validator.html.AntiSamy;
import org.owasp.validator.html.CleanResults;
import org.owasp.validator.html.Policy;

public class RichTextXssTest {

    public static void main(String[] args) {

                AntiSamy as = new AntiSamy();
                try{
                    //Policy policy = Policy.getInstance("antisamy-slashdot.xml");
                    Policy policy = Policy.getInstance("antisamy-ebay.xml");

                    CleanResults cr = as.scan("<img src=http://www.qq.com/a.jpg />", policy);
                    System.out.print(cr.getCleanHTML() + "1\r\n");

                    cr = as.scan("<sCript src=http://www.qq.com/a.js />", policy);
                    System.out.print(cr.getCleanHTML() + "2\r\n");

                    cr = as.scan("<img src=http://www.qq.com/a.jpg onclick=alert(1) />", policy);
                    System.out.print(cr.getCleanHTML() + "3\r\n");

                    cr = as.scan("onfinish=javascript:a=alert;a(1)%3E%3C!—", policy);
                    System.out.print(cr.getCleanHTML() + "4\r\n");

                    cr = as.scan("<img src=\"javascript:alert('XSS')\">", policy);
                    System.out.print(cr.getCleanHTML() + "5\r\n");

                    cr = as.scan("<IMG src=JaVaScRiPt:alert('XSS')>", policy);
                    System.out.print(cr.getCleanHTML() + "6\r\n");

                    cr = as.scan("<IMG src=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>", policy);
                    System.out.print(cr.getCleanHTML() + "7\r\n");

                    cr = as.scan("<STYLE TYPE=\"text/javascript\">alert('XSS');</STYLE>", policy);
                    System.out.print(cr.getCleanHTML() + "8\r\n");

                    cr = as.scan("<A href=http://www.gohttp://www.google.com/ogle.com/>link</A>", policy);
                    System.out.print(cr.getCleanHTML() + "9\r\n");

                    cr = as.scan("<META HTTP-EQUIV=\"refresh\" CONTENT=\"0;url=javascript:alert('XSS');\">", policy);
                    System.out.print(cr.getCleanHTML() + "10\r\n");

                }
                catch(Exception ex) {
                    ex.printStackTrace();
                } ;
            }

}
一共测试了10个payload,测试结果如下:
antisamy-ebay.xml 策略的测试结果

antisamy-slashdot.xml 策略的测试结果:

antisamy-myspace.xml策略的测试结果:

antisamy-tinymce.xml策略的测试结果:

antisamy-anythinggoes.xml策略的测试结果

默认策略antisamy.xml 策略的测试结果:











												


											
AntiSamy测试的更多相关文章
	

    
								
  1. XSS 简单理解之:AntiSamy
		
    AntiSamy介绍 OWASP是一个开源的.非盈利的全球性安全组织,致力于应用软件的安全研究.我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策.目前OWASP全球拥有1 ...
    
		
    2. 
						
  2. SignalR系列续集[系列8:SignalR的性能监测与服务器的负载测试]
		
    目录 SignalR系列目录 前言 也是好久没写博客了,近期确实很忙,嗯..几个项目..头要炸..今天忙里偷闲.继续我们的小系列.. 先谢谢大家的支持.. 我们来聊聊SignalR的性能监测与服务器的 ...
    
		
    3. 
						
  3. Apache Ignite之集群应用测试
		
    集群发现机制 在Ignite中的集群号称是无中心的,而且支持命令行启动和嵌入应用启动,所以按理说很简单.而且集群有自动发现机制感觉对于懒人开发来说太好了,抱着试一试的心态测试一下吧. 在Apache  ...
    
		
    4. 
						
  4. 测试一下StringBuffer和StringBuilder及字面常量拼接三种字符串的效率
		
    之前一篇里写过字符串常用类的三种方式<java中的字符串相关知识整理>,只不过这个只是分析并不知道他们之间会有多大的区别,或者所谓的StringBuffer能提升多少拼接效率呢?为此写个简 ...
    
		
    5. 
						
  5. TechEmpower 13轮测试中的ASP.NET Core性能测试
		
    应用性能直接影响到托管服务的成本,因此公司在开发应用时需要格外注意应用所使用的Web框架,初创公司尤其如此.此外,糟糕的应用性能也会影响到用户体验,甚至会因此受到相关搜索引擎的降级处罚.在选择框架时, ...
    
		
    6. 
						
  6. .NET Core系列 :4 测试
		
    2016.6.27 微软已经正式发布了.NET Core 1.0 RTM,但是工具链还是预览版,同样的大量的开源测试库也都是至少发布了Alpha测试版支持.NET Core, 这篇文章 The Sta ...
    
		
    7. 
						
  7. 渗透测试工具BurpSuite做网站的安全测试(基础版)
		
    渗透测试工具BurpSuite做网站的安全测试(基础版) 版权声明:本文为博主原创文章,未经博主允许不得转载. 学习网址: https://t0data.gitbooks.io/burpsuite/c ...
    
		
    8. 
						
  8. 在ubuntu16.10 PHP测试连接MySQL中出现Call to undefined function: mysql_connect()
		
    1.问题: 测试php7.0 链接mysql数据库的时候发生错误: Fatal error: Uncaught Error: Call to undefined function mysqli_con ...
    
		
    9. 
						
  9. 【初学python】使用python调用monkey测试
		
    目前公司主要开发安卓平台的APP,平时测试经常需要使用monkey测试,所以尝试了下用python调用monkey,代码如下: import os apk = {'j': 'com.***.test1 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. lodop简单入门教程
			
    lodop简单入门 1 安装(这个不介绍,下载安装即可) 声明只能装windows,linux不能装,所以linux 服务器要使用直接使用http://localhost:8000/CLodopfun ...
    
			
    2. 
						
  2. 整合quickx到普通cocos2dx
			
    quickx是对cocos2dx的lua扩展,它做了一些C++的扩展,同时还在lua做了一些封装, 让用lua开发cocos2dx更快,中文站http://quick.cocoachina.com/. ...
    
			
    3. 
						
  3. c#开源项目[转]
			
    一.AOP框架 Encase 是C#编写开发的为.NET平台提供的AOP框架.Encase 独特的提供了把方面(aspects)部署到运行时代码,而其它AOP框架依赖配置文件的方式.这种部署方面(as ...
    
			
    4. 
						
  4. php5共存php7
			
    PHP7与PHP5共存于CentOS7 原文参考 原理 思路很简单:PHP5是通过yum安装的在/usr/,套接字在/var/run/php-fpm.socket,PHP7自己编译装在/usr/loc ...
    
			
    5. 
						
  5. phpadmin 装了6666端口只能在IE打开,在阿里云改了 开放端口85好了
			
    phpadmin 装了6666端口只能在IE打开,在阿里云改了 开放端口85好了 非常用端口谷歌浏览器识别不了phpadmin
    
			
    6. 
						
  6. [Java]  System.arraycopy 数组复制
			
    函数原型: public static void arraycopy(Object src, int srcPos, Object dest, int destPos, int length) ; s ...
    
			
    7. 
						
  7. 为什么选择使用Spring Cloud而放弃了Dubbo
			
    为什么选择使用Spring Cloud而放弃了Dubbo 可能大家会问,为什么选择了使用Dubbo之后,而又选择全面使用Spring Cloud呢?其中有几个原因: 1)从两个公司的背景来谈:Dubb ...
    
			
    8. 
						
  8. glibc升级小记
			
    2015年元月最后几天,glibc幽灵漏洞来袭,引用 中华财经网的报道 稍做介绍: Linux glibc函数库日前曝出名为GHOST(幽灵)的高危漏洞,漏洞编号是CVE-2015-0235.攻击者可 ...
    
			
    9. 
						
  9. digitalocean --- How To Install Apache Tomcat 8 on Ubuntu 16.04
			
    https://www.digitalocean.com/community/tutorials/how-to-install-apache-tomcat-8-on-ubuntu-16-04 Intr ...
    
			
    10. 
						
  10. 哪些工具可以在word中快速绘制图形
			
    在数学试卷.论文.电子教案等编写过程中,我们经常要作出数学图形或图像,若用Word自身携带的绘图工具绘制,多有不便.比如一些曲线的形状很难画得像,画到位,作图时修修改改,颇为费力,所以需要借助一些辅助 ...
    
			
    11.