最近公司负责的几个系统中老有漏洞被搜出,多少都是JSP跨站脚本漏洞攻击,总结出的原因,无外呼是在跳转到JSP的页面中带有参数,然后JSP页面接收到参数后没有对一些特殊字符进行过滤,当然,还有一些其他的情况,比如,在页面中有输入框,需要用户手动输入内容时,都有可能出现这种攻击,下面是我针对JSP页面接收参数时,对参数进行过滤处理的方法,可能不全,还请大神指点!
请求链接:
http://a.b.com/login.jsp?successUrl=<script>alert(111)</script>
参数过滤:
String successUrl =request.getParameter("successUrl");
if(StringUtil.isNotNull(successUrl)){
successUrl = successUrl.replaceAll("<","")//匹配尖括号
.replaceAll(">","")//匹配尖括号
.replaceAll("\"","")//匹配双引号
.replaceAll("\'","")//匹配单引号
.replaceAll("\\(.*?\\)","")//匹配左右括号
.replaceAll("[+]","");//匹配加号
}
JSP中使用该参数:
<input type="hidden" name="hidden" id="_hidden" value="<%=successUrl%>" />
这便是一个完整的过程,希望对大家有所帮助。
相关推荐
此外,还存在另一个与WebLogic相关的漏洞CVE-2014-4241,该漏洞涉及XSS(跨站脚本攻击)。具体来说,该漏洞出现在`SetupUDDIExplorer.jsp`页面中,攻击者可以通过构造恶意URL来触发XSS攻击。例如,通过设置恶意的...
3. **源码泄露风险**:源码泄露可能导致恶意攻击者分析漏洞,进行SQL注入、跨站脚本攻击等,甚至完全控制服务器。 4. **防护措施**:通过正确配置服务器权限、使用代码混淆技术、实施代码审查、部署Web应用防火墙...
7. **安全**:检查模板是否存在已知的安全漏洞,及时更新和修复。 总的来说,这个压缩包可能是一个资源集合,包含了JSP和ASP的网页模板,为开发者提供了快速构建网页的工具。理解并有效利用这些模板,可以提升开发...
在渗透测试中,了解ASP漏洞如SQL注入、命令注入、跨站脚本(XSS)等是非常重要的。通过模拟攻击,你可以学习如何发现和利用这些漏洞,同时也能掌握如何防止它们。 JSP是Java平台上的动态网页技术,它允许开发者使用...
7. **安全性考虑**:在使用JSP网页HTML编辑器时,需要关注数据过滤和输入验证,防止XSS(跨站脚本攻击)和其他安全风险。同时,确保编辑器的更新以修复可能存在的漏洞。 8. **部署和使用**:JSP网页HTML编辑器 v1.0...
这涉及到对代码进行审查,寻找可能导致SQL注入、跨站脚本(XSS)、路径遍历、远程文件包含(RFI)等常见攻击的漏洞。 3. **JSP探针**:JSP探针是一种专门针对JSP应用的自动化工具,它可以扫描JSP文件,查找不安全的编程...
2. **SQL注入**:当JSP页面与数据库交互时,如果没有正确地转义或参数化SQL查询,攻击者可能通过构造特殊输入来执行恶意SQL命令,获取或篡改数据库中的敏感信息。 3. **跨站脚本攻击(XSS)**:XSS攻击允许攻击者在...
- 计算完投票结果后,JSP页面通过`response.getWriter().print()`或者EL(Expression Language)将结果返回到客户端,显示在网页上。可能还需要使用图表库(如Chart.js、Highcharts等)生成可视化结果。 8. **安全...
5. **安全编码**:遵循OWASP(开放网络应用安全项目)的编码标准,避免SQL注入、XSS(跨站脚本)等常见攻击。 6. **定期审计和更新**:定期进行代码审查和安全更新,修补已知漏洞。 【黑客基地hackbase.htm】 这个...
2. **JSP基本语法**:学习如何在JSP页面中使用脚本let、声明、表达式,以及指令元素如`<jsp:include>`、`<jsp:forward>`等。 3. **JSP内置对象**:理解并使用九个内置对象,如`request`、`response`、`session`、`...
3. 安全检测:对于任何Web应用来说,安全性都是至关重要的,JSP探针可能检查常见的安全漏洞,如SQL注入、跨站脚本(XSS)等。 4. 开发工具:这是面向开发人员使用的工具,帮助他们在开发和维护过程中发现问题并修复...
1. **JSP后门基础**:JSP后门是通过在JSP页面中植入恶意代码来实现的,这些代码可以在服务器端执行,允许未经授权的远程访问和控制。常见的JSP后门可能包括执行系统命令、读取或写入文件、窃取敏感数据等。 2. **...
这个方法允许开发人员存储数据,这些数据可以在同一个JSP页面的生命周期内被其他脚本元素或标签访问。如果在不同作用域(request, session, application)中设置,那么数据的可见性和生命周期也会相应地扩展。 **5....
除了了解各种类型的Webshell外,我们还需要关注Web安全的其他方面,如SQL注入、XSS(跨站脚本)攻击、CSRF(跨站请求伪造)等。对于任何Web应用程序,都应采用OWASP(开放网络应用安全项目)的最佳实践,比如使用...
这个过程涉及到对JSP页面、数据库交互逻辑以及权限管理的深入理解。"jjsp注入加sa提权"和"sp注入加sa提权"可能是描述同一问题的不同拼写方式,强调了SQL存储过程(Stored Procedures)也可能成为攻击的途径。 ...
在JSP开发中,XSS(Cross Site Scripting)漏洞是一种常见的安全问题,它允许恶意攻击者通过在网页上注入可执行的脚本代码来操纵用户浏览器,进而对用户进行攻击。XSS攻击通常发生在服务器未能正确处理或验证用户...
1. **example-css.css**:可能包含网站的样式定义,也可能隐藏了恶意CSS代码,用于跨站脚本(XSS)攻击或其他目的。 2. **Browser.jsp**:可能是JSP页面示例,也可能包含"The Job"木马的Java代码片段。 3. **gpl.txt...
"web security by one jsp project demo"这个项目旨在通过一个实例展示如何强化JSP应用的安全性,以防止常见的攻击,如跨站脚本(XSS)、SQL注入等。以下是一些关于JSP安全的关键知识点,以及可能涉及到的实践方法。 ...
这些标签表明项目的核心技术是JSP,它是一种在服务器端运行的脚本语言,用于动态生成HTML页面。"论坛"标签表示这是社交互动的平台,而"源代码"和"项目源代码"则说明提供的是可编辑和学习的底层代码。 在【压缩包子...