前言

​ 最近做的一个项目因为安全审计需要,需要做安全改造。其中自然就包括XSS和CSRF漏洞安全整改。关于这两个网络安全漏洞的详细说明,可以参照我本篇博客最后的参考链接。当然,我这里并不是想写一篇安全方面的专题。我要讲的是在做了XSS漏洞修复之后引发的一系列事件。

超时

​ 本地测试的时候随便点了些页面,然后debug跟了下代码未发现任何问题。上线之后用户反馈有的页面打不开,自己去线上体验发现大部分页面正常,但是存在部分客户反馈的页面打开直接超时报错。

事件紧急处理

​ XSS这个漏洞修复开始不是经过我处理的,上线之后由于编码规则太严格(后面我会讲我们使用的解决方案),导致前台传入的JSON字符串中的引号全被转码,造成后台解析报错。

​ 而我成为了那个救(bei)火(guo)英(xia)雄,需要立马解决这个问题补丁升级。我看了下以前实现的代码,有考虑到通过一个XML白名单文件,配置忽略XSS编码的请求URI。最直接的办法,是直接把我这个请求的URI加入XML白名单配置,然后补丁替换白名单文件重启服务。

​ 但是当时我在修改的时候,考虑到可能不止这一个需要过滤的白名单,如果纯粹启动时加载的XML白名单列表。到时候还有别的URI需要忽略,那我岂不是还要再发增量补丁......

​ 于是当时我修改的时候顺便增加了一个能力,白名单可以直接在界面配置,并且每次获取白名单列表的时候动态从数据库获取(考虑到实时请求较大,我调用的系统已有接口提供的支持缓存的查询方法)。正因为有这个“后门”我直接在线上配置了这个参数,先暂且把线上问题解决。

问题探索

​ 解决问题第一步,自然是分析线上日志。发现线上日志的确对请求的URI中的参数做了XSS编码处理。

​ 那问题就回到我们XSS漏洞修复的实现方式:AntiSamy(见参考链接)。其中我们的XssRequestWrapper 源码如下:

public class XssRequestWrapper extends HttpServletRequestWrapper {

	private static Logger log  = LoggerFactory.getLogger(XssRequestWrapper.class);

	private static Policy policy = null;

    static {

        String path = XssRequestWrapper.class.getClassLoader().getResource("security/antisamy-tinymce.xml").getFile();

        log.info("policy_filepath:" + path);

        if (path.startsWith("file")) {

        	//以file:开头

            path = path.substring(6);

        }

        try {

            policy = Policy.getInstance(path);

        } catch (PolicyException e) {

            e.printStackTrace();

        }

    }

	public XssRequestWrapper(HttpServletRequest request) {

		super(request);

	}

    // 队请求参数进行安全转码

	public String getParameter(String paramString) {

        String str = super.getParameter(paramString);

        if (StringUtils.isBlank(str)) {

        	 return null;

        }

        return xssClean(str, paramString);

    }

	// 队请求头进行安全转码

    public String getHeader(String paramString) {

        String str = super.getHeader(paramString);

        if (StringUtils.isBlank(str))

            return null;

        return xssClean(str, paramString);

    }

    @SuppressWarnings({"rawtypes","unchecked"})

    public Map<String, String[]> getParameterMap() {

		Map<String, String[]> request_map = super.getParameterMap();

        Iterator iterator = request_map.entrySet().iterator();

        log.debug("getParameterMap size:{}", request_map.size());

        while (iterator.hasNext()) {

            Map.Entry me = (Map.Entry) iterator.next();

            String paramsKey = (String) me.getKey();

            String[] values = (String[]) me.getValue();

            for (int i = 0; i < values.length; i++) {

                values[i] = xssClean(values[i], paramsKey);

            }

        }

        return request_map;

    }

    public String[] getParameterValues(String paramString) {

        String[] arrayOfString1 = super.getParameterValues(paramString);

        if (arrayOfString1 == null)

            return null;

        int i = arrayOfString1.length;

        String[] arrayOfString2 = new String[i];

        for (int j = 0; j < i; j++)

            arrayOfString2[j] = xssClean(arrayOfString1[j], paramString);

        return arrayOfString2;

    }

    public final static String KEY_FILTER_STR = "'";

    public final static String SUFFIX = "value";

    //需要过滤的地方

    private String xssClean(String value, String paramsKey) {

    	 String keyFilterStr = KEY_FILTER_STR;

         String param = paramsKey.toLowerCase();

         if (param.endsWith(SUFFIX)) { // 如果参数名 name="xxxvalue"

 			if (value.contains(keyFilterStr)) {

 				value = value.replace(keyFilterStr, "‘");

 			}

 		}

        AntiSamy antiSamy = new AntiSamy();

        try {

            final CleanResults cr = antiSamy.scan(value, policy);

            // 安全的HTML输出

            return cr.getCleanHTML();

        } catch (ScanException e) {

        	log.error("antiSamy scan error", e);

        } catch (PolicyException e) {

        	log.error("antiSamy policy error", e);

        }

		return value;

    }

}

​ 可以看到了我们项目组最终采用的策略配置文件是:antisamy-tinymce.xml,这种策略只允许传送纯文本到后台(这样做真的好吗?个人觉得这个规则太过严格),并且对请求头和请求参数都做了XSS转码。请注意这里,我们相对于参考链接中源码不同的处理方式在于:我们对请求头也进行了编码处理。

​ 那么看来问题就在于编码导致的效率低下,于是我在getHeadergetParameter方法中都打了断点。在揭晓结果之前,我说说我当时的猜测:因为当时用户反馈的有问题的页面是有很多查询条件的,我开始的猜测是应该是传入后台的参数过多导致编码影响效率。然而,现实总是无情地打脸,不管你天真不天真。

​ Debug发现getParameter调用的此时算正常,而getHeader处的断点没完没了的进来(最终结果证明,进来了几千次)......

原因分析

​ 还是那句话,没有什么是源码解决不了的,如果有,那么请Debug源码

XSS事件(一)的更多相关文章

  1. 新浪微博XSS攻击事件

    http://blog.csdn.net/terryzero/article/details/6575078 6月28日20时14分左右开始,新浪微博出现了一次比较大的XSS攻击事件.大量用户自动发送 ...

  2. XSS Filter Evasion Cheat Sheet 中文版

    前言 译者注: 翻译本文的最初原因是当我自己看到这篇文章后,觉得它是非常有价值.但是这么著名的一个备忘录却一直没有人把它翻译成中文版.很多人仅仅是简单的把文中的 各种代码复制下来,然后看起来很刁的发在 ...

  3. 新浪微博的XSS漏洞攻击过程详解

    今天晚上(2011年6月28日),新浪微博出现了一次比较大的XSS攻击事件.大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉 ...

  4. PHP代码审计笔记--XSS

    跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.Web程序代码中把用户提 ...

  5. XSS----payload,绕过,xss小游戏记录

    一.XSS 1.原理:攻击者把恶意的脚本代码注入到网页中,等待其他用户浏览 这些网页(或触发其他条件),从而执行其中的恶意代码. 1.xss实例代码: test.html <!DOCTYPE h ...

  6. xss构造--如何使用xss语句

    XSS的构造 1.利用[<>]构造html/js 如[<script>alert(/xss/)</script>] 2.伪协议 使用javascript:伪协议来构 ...

  7. 分享一个php的防火墙,拦截SQL注入和xss

    一个基于php的防火墙程序,拦截sql注入和xss攻击等 安装 composer require xielei/waf 使用说明 $waf = new \Xielei\Waf\Waf(); $waf- ...

  8. web 安全 & web 攻防: XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)

    web 安全 & web 攻防: XSS(跨站脚本攻击)和 CSRF(跨站请求伪造) XSS(跨站脚本攻击)和CSRF(跨站请求伪造) Cross-site Scripting (XSS) h ...

  9. JNI详解---从不懂到理解

    转载:https://blog.csdn.net/hui12581/article/details/44832651 Chap1:JNI完全手册... 3 Chap2:JNI-百度百科... 11 C ...

随机推荐

  1. ASP.NET Web API 框架研究 ASP.NET Web API 路由

    ASP.NET Web API 核心框架是一个独立的.抽象的消息处理管道,ASP.NET Web API有自己独立的路由系统,是消息处理管道的组成部分,其与ASP.NET路由系统有类似的设计,都能找到 ...

  2. 二、基于kubernetes构建Docker集群环境实战

    kubernetes是google公司基于docker所做的一个分布式集群,有以下主件组成 etcd: 高可用存储共享配置和服务发现,作为与minion机器上的flannel配套使用,作用是使每台 m ...

  3. Azure DevOps Server (TFS)中代码文件换行问题解决方案(Git)

    之前写过一篇博客"探索TFS Git 库文件换行(CRLF)的处理方式",主要是针对TFVC代码库的. 下面这篇文章说明如何在TFS的Git库中处理代码换行的问题. 概述 在Azu ...

  4. 发送短信功能(C#)

    参考自:https://blog.csdn.net/whl632359961/article/details/73468115 https://www.cnblogs.com/ywl925/archi ...

  5. qt在windows下编译遇到的一些问题

    软件是在linux上写的,然而搬到windows上来遇到了好多问题.... 想跪.... 首先就是压根编译不了的问题....这个问题困扰我好久了....一直报错undefined reference ...

  6. Lerning Entity Framework 6 ------ Inserting, Querying, Updating, and Deleting Data

    Creating Entities First of all, Let's create some entities to have a test. Create a project Add foll ...

  7. DS博客作业03—栈和队列

    1.本周学习总结 本周学习了栈和队列两种数据结构,分别对应后进先出,先进先出两种数据操作 学会栈的特殊类型-共享栈,队列的特殊类型-循环队列的一系列操作 学会熟练使用栈和队列的STL容器,使代码简洁 ...

  8. shapefile的使用和地理信息的获得

    Shapefile文件是美国ESRI公司发布的文件格式,因其ArcGIS软件的推广而得到了普遍的使用,是现在GIS领域使用最为广泛的矢量数据格式.官方称Shapefile是一种用于存储地理要素的几何位 ...

  9. Vim使用Vundle安装代码补全插件(YouCompleteMe)

    安装 Vundle 它的使用方法很简单,安装一个插件只需要在 ~/.vimrc 按照规则中添加 Plugin 的名称,某些需要添加路径,之后在 Vim 中使用:PluginInstall既可以自动化安 ...

  10. flask_mysql入库

    mysql 的入库和MongoDB的有一点点的区别 不过都很重要,都必须要掌握的技能, 现在我来演示一下mysql入库的过程: 首先  我们要导包,这是必不可少的一部分,都不用我说了吧 #导报 imp ...