Java编码安全漏洞之:跨站
2017-03-21 00:00
423 查看
Reflected_XSS_All_Clients
反射跨站,来自用户的数据直接输出到客户端。修复建议
使用跨站修复函数处理输出到客户端的数据字符串。
修复示例
如:public void XSS(HttpServletRequest request, HttpServletResponse response){
String text = request.getParameter("text");
System.out.println(text);
}
修复为:
public void XSS_Fix1(HttpServletRequest request, HttpServletResponse response){
String text = request.getParameter("text");
text = Sutil.responseFilter(text);
System.out.println(text);
}
public class Sutil{
public static String responseFilter(String text){
//Struts1.x
return org.apache.struts.util.ResponseUtils.filter(text);
}
}
Stored_XSS
存储型跨站,来自存储设备的数据直接输出到客户端。修复建议
使用跨站修复函数处理输出到客户端的数据字符串。修复示例
如:public void XSS(HttpServletRequest request, HttpServletResponse response){
String text = request.getParameter("text");
System.out.println(text);
}
修复为:
public void XSS_Fix1(HttpServletRequest request, HttpServletResponse response){
String text = request.getParameter("text");
text = Sutil.responseFilter(text);
System.out.println(text);
}
public class Sutil{
public static String responseFilter(String text){
//Struts1.x
return org.apache.struts.util.ResponseUtils.filter(text);
}
}
UTF7_XSS
UTF7跨站,由于<meta>标签没有指定明确的charset,导致浏览器将编码以utf-7解析,或未过滤UTF7字符,从而形成XSS。修复建议
1、给<meta>等标签指定编码字符集,比如 json 的一定要设置为 Content-Type: "json"。2、严格过滤用户输入的数据,禁止输出的前几个字符是:+/v
CGI_Reflected_XSS_All_Clients
CGI反射跨站,来自用户的数据直接输出到控制台或其他CGI接口。修复建议
使用跨站修复函数处理输出到客户端的数据字符串。修复示例
如:public void XSS(HttpServletRequest request, HttpServletResponse response){
String text = request.getParameter("text");
System.out.println(text);
}
修复为:
public void XSS_Fix1(HttpServletRequest request, HttpServletResponse response){
String text = request.getParameter("text");
text = Sutil.responseFilter(text);
System.out.println(text);
}
public class Sutil{
public static String responseFilter(String text){
//Struts1.x
return org.apache.struts.util.ResponseUtils.filter(text);
}
}
GWT_DOM_XSS
GWT DOM反射跨站,来自用户的数据直接输出到控制台或其他DOM接口。修复建议
使用跨站修复函数处理输出到客户端的数据字符串。修复示例
如:public void XSS(HttpServletRequest request, HttpServletResponse response){
String text = request.getParameter("text");
System.out.println(text);
}
修复为:
public void XSS_Fix1(HttpServletRequest request, HttpServletResponse response){
String text = request.getParameter("text");
text = Sutil.responseFilter(text);
System.out.println(text);
}
public class Sutil{
public static String responseFilter(String text){
//Struts1.x
return org.apache.struts.util.ResponseUtils.filter(text);
}
}
GWT_Reflected_XSS
GWT反射跨站,来自用户的数据直接输出到控制台或其他GWT接口。修复建议
使用跨站修复函数处理输出到客户端的数据字符串。修复示例
如:public void XSS(HttpServletRequest request, HttpServletResponse response){
String text = request.getParameter("text");
System.out.println(text);
}
修复为:
public void XSS_Fix1(HttpServletRequest request, HttpServletResponse response){
String text = request.getParameter("text");
text = Sutil.responseFilter(text);
System.out.println(text);
}
public class Sutil{
public static String responseFilter(String text){
//Struts1.x
return org.apache.struts.util.ResponseUtils.filter(text);
} }
相关文章推荐
- C、C++ 和 Java安全编码实践提示与技巧
- [原创]Yeepay网站安全测试漏洞之跨站脚本注入
- JAVA漏洞再度挑战苹果安全神话
- 创建Java安全框架 避免Java漏洞被利用
- Java之父海侃:.NET的巨大安全漏洞
- 报告发现最新版Java存在一个安全漏洞
- iOS安全编码指南:软件漏洞的主要来源
- java安全-SQL注入漏洞
- 又是一周,又一个Java安全漏洞被发现
- C、C++ 和 Java安全编码实践提示与技巧
- Java更新修复27个危急安全漏洞
- 网站编程安全之---跨站漏洞(发现csdn的一个安全露洞)
- java安全技术-Base64编码与解码
- 安全检测Java Web应用网站漏洞(上)
- java安全问题(开发过程中一定要注意!十大漏洞)
- 研究人员指出最近Java频出安全漏洞问题
- Sun公司发布警告 Java中存在安全漏洞
- 迈克菲:如何规避Java漏洞带来的安全风险
- 专家预测有误 Mac用户无需担心Java 1.7安全漏洞
- 创建Java安全框架 避免Java漏洞被利用