网络中心提示网站有数目众多的跨站脚本攻击(XSS)漏洞,经过查看代码,认为是JSP中绑定变量是未经处理直接写入的,而且整个项目中这样的做法太多,因为是多年前的,不好一个个更改,参照网上资料,通过加filter对数据参数进行处理。

1、在github上下载lucy-xss-servlet-filter:https://github.com/naver/lucy-xss-servlet-filter

2、打开项目lucy-xss-servlet-filter,将下载代码输出为jar包.

项目输出为jar包参见教程:http://blog.csdn.net/yahohi/article/details/6888559

3、将生成的jar包和lucy-xss-servlet-filter引用的jar包放入漏洞网站的/WEB-INFO/lib目录或tomcat的lib目录。

4、在漏洞网站的web.xml中添加对lucy-xss-servlet-filter的引用。

...

    <filter>

        <filter-name>xssEscapeServletFilter</filter-name>

        <filter-class>com.navercorp.lucy.security.xss.servletfilter.XssEscapeServletFilter</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>xssEscapeServletFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

...

5、在classess目录下放入lucy-xss-servlet-filter-rule.xml 。

 <?xml version="1.0" encoding="UTF-8"?>

 <config xmlns="http://www.navercorp.com/lucy-xss-servlet">

    <defenders>

        <!-- XssPreventer 등록 -->

        <defender>

            <name>xssPreventerDefender</name>

            <class>com.navercorp.lucy.security.xss.servletfilter.defender.XssPreventerDefender</class>

        </defender>

        <!-- XssSaxFilter 등록 -->

        <defender>

            <name>xssSaxFilterDefender</name>

            <class>com.navercorp.lucy.security.xss.servletfilter.defender.XssSaxFilterDefender</class>

            <init-param>

                <param-value>lucy-xss-sax.xml</param-value>   <!-- lucy-xss-filter의 sax용 설정파일 -->

                <param-value>false</param-value>        <!-- 필터링된 코멘트를 남길지 여부, 성능 효율상 false 추천 -->

            </init-param>

        </defender>

        <!-- XssFilter 등록 -->

        <defender>

            <name>xssFilterDefender</name>

            <class>com.navercorp.lucy.security.xss.servletfilter.defender.XssFilterDefender</class>

            <init-param>

                <param-value>lucy-xss.xml</param-value>    <!-- lucy-xss-filter의 dom용 설정파일 -->

                <param-value>false</param-value>         <!-- 필터링된 코멘트를 남길지 여부, 성능 효율상 false 추천 -->

            </init-param>

        </defender>

    </defenders>

     <!-- default defender 선언, 별다른 defender 선언이 없으면 default defender를 사용해 필터링 한다. -->

     <default>

         <defender>xssPreventerDefender</defender>

     </default>

     <!-- global 필터링 룰 선언 -->

     <global>

         <!-- 모든 url에서 들어오는 globalParameter 파라메터는 필터링 되지 않으며

                 또한 globalPrefixParameter로 시작하는 파라메터도 필터링 되지 않는다. -->

         <params>

             <param name="globalParameter" useDefender="false" />

             <param name="globalPrefixParameter" usePrefix="true" useDefender="false" />

         </params>

     </global>

     <!-- url 별 필터링 룰 선언 -->

     <url-rule-set>

        <!-- url disable이 true이면 지정한 url 내의 모든 파라메터는 필터링 되지 않는다. -->

        <url-rule>

            <url disable="true">/disableUrl1.do</url>

        </url-rule>

         <!-- url1 내의 url1Parameter는 필터링 되지 않으며 또한 url1PrefixParameter로 시작하는 파라메터도 필터링 되지 않는다. -->

         <url-rule>

             <url>/url1.do</url>

             <params>

                 <param name="url1Parameter" useDefender="false" />

                 <param name="url1PrefixParameter" usePrefix="true" useDefender="false" />

             </params>

         </url-rule>

         <!-- url2 내의 url2Parameter1만 필터링 되지 않으며 url2Parameter2는 xssSaxFilterDefender를 사용해 필터링 한다.  -->

         <url-rule>

             <url>/url2.do</url>

             <params>

                 <param name="url2Parameter1" useDefender="false" />

                 <param name="url2Parameter2">

                     <defender>xssSaxFilterDefender</defender>

                 </param>

             </params>

         </url-rule>

     </url-rule-set>

 </config>

6、重启tomcat测试网站,在参数中注入脚本不再提示XSS警告,而是直接出错。

问题解决。这样的好处是不用改动原网站。

参考:

WEB安全实战(五)XSS 攻击的另外一种解决方案(推荐) - CSDN博客

java(ssh)项目防止XSS攻击方法总结

java防范跨站脚本攻击(XSS)的更多相关文章

  1. 跨站脚本攻击XSS(二)——session劫持

    转载自:http://www.cnblogs.com/dolphinX/p/3403027.html 在跨站脚本攻击XSS中简单介绍了XSS的原理及一个利用XSS盗取存在cookie中用户名和密码的小 ...

  2. 记录一次网站漏洞修复过程(三):第二轮处理(拦截SQL注入、跨站脚本攻击XSS)

    在程序编写的时候采用参数化的SQL语句可以有效的防止SQL注入,但是当程序一旦成型,再去修改大量的数据库执行语句并不是太现实,对网页表单上输入进行校验是易于实现的方法.在webForm 页面中开启校验 ...

  3. 跨站脚本攻击xss学习

    0.认识跨站脚本 举一个跨站脚本的简单例子. 假设一个页面将用户输入的参数直接显示到页面之中.(比如有如下代码) 在实际的浏览器中,在param中提交的参数正常会展示到页面之中.比如输入下面的URL: ...

  4. [Web安全之实战] 跨站脚本攻击XSS

    Writer:BYSocket(泥沙砖瓦浆木匠) 微博:BYSocket 豆瓣:BYSocket Reprint it anywhere u want. 文章Points:  1. 认识XSS 2. ...

  5. 跨站脚本攻击XSS

    跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到 ...

  6. 渗透之路基础 -- 跨站脚本攻击XSS

    目录 漏洞原理及防御 XSS 原理分析:输出问题导致js代码被识别执行 XSS 技术分类 Cookie盗取 基于Xss的WebShell箱子的攻击 XSS相关防护过滤及绕过分析(参考链接) 防护: 绕 ...

  7. 防范跨站脚本攻击(XXS)的关键手段

    1:加强对提交信息和页面显示信息的过滤,让非法提交内容无处施展: 2:让存储在cookie中的sessionid 无法被js 读取到. 如今的xss 相比网上很多资料中,在技术上已经发生了很大变化.由 ...

  8. 配置过滤器filter对跨站脚本攻击XSS实现拦截

    1.web.xml中配置filter [html] view plain copy   <filter> <filter-name></filter-name> & ...

  9. 跨站脚本攻击(xss)理解

    一  概念 攻击者不直接攻击受害者,而是利用受害者登陆的网站中的漏洞,对受害者进行攻击. 二  危害 由于js本身的限制,并不能直接对用户的电脑造成侵害,但是可以: 1. 获取用户的storage,c ...

随机推荐

  1. Android 实现在Activity中操作刷新另外一个Activity数据列表

    做android项目中遇到这样一个问题:有两个acticity,一个显示好友列表,另外一个显示会话列表,现在问题是在会话界面增加一个添加好友功能,添加好友后要求实时的刷新好友列表. 想了想,找了两种方 ...

  2. 邹欣,现代软件工程讲义:单元测试&回归测试

    http://www.cnblogs.com/xinz/archive/2011/11/20/2255830.html 邹欣, 现代软件工程讲义 2 开发技术 - 单元测试 & 回归测试

  3. SpringBoot2.0WebFlux响应式编程知识总结

  4. Restful风格wcf调用3——Stream

    写在前面 上篇文章介绍了restful接口的增删改查,本篇文章将介绍,如何通过数据流进行文件的上传及下载操作. 系列文章 Restful风格wcf调用 Restful风格wcf调用2——增删改查 一个 ...

  5. Shell编程-04-Shell中变量数值计算

    目录 算术运算符 算术运算命令 数值运算用法 算术运算符     在任何一门形式的语言中均会存在算术运算的情况,Shell常见的运算符如下所示: 运算符 含义 + - * / % 加 减 乘 除 求余 ...

  6. Java Annotation Processors

    Table Of Contents 1. Introduction 2. When to Use Annotation Processors 3. Annotation Processing Unde ...

  7. SpringBoot整合mybatis、shiro、redis实现基于数据库的细粒度动态权限管理系统实例

    1.前言 本文主要介绍使用SpringBoot与shiro实现基于数据库的细粒度动态权限管理系统实例. 使用技术:SpringBoot.mybatis.shiro.thymeleaf.pagehelp ...

  8. 咏南CS开发框架新的界面风格

    咏南CS开发框架新的界面风格 这种风格完全和WINDOWS桌面一样,符合用户的操作习惯. 我的桌面的图标和WINDOWS桌面一样分为二类:1)快捷方式  2)文件夹. 如果快捷方式较多,看得人眼花缭乱 ...

  9. 更改mysql默认字符集 (转载)

    1. service mysqld stop,停用mysql. 2. cp /etc/my.cnf /etc/my.cnf.bak,修改前做备份,这是个好习惯. 修改my.cnfvi /etc/my. ...

  10. Android-自定义侧滑菜单

    效果图: 需要继承ViewGroup,因为包含了子控件,菜单子控件 与 主页面子控件 Activity Xml布局相关: <!-- 自定义侧滑菜单 SlideMenu --> <Li ...