XSS转码 && struts2 property标签的bug

时间:2024-01-04 12:07:20

struts2:

<s:property value="name" escape="false"/>

EL表达式:

jsp 2.0中的 ${todo.description}是不能防止xss的,如果输入脚本就可能导致xss攻击。

解决方法:

这种表达式只能用作tag的属性,而不能显示,

使用<c:out value="${todo.description}"/>就可以自动escapeXml。或者使用${fn:escapeXml(todo.description)}

如果想不escape,使用<c:out value="${todo.description}" escapeXml="false"/>

  

原文链接:http://blog.csdn.net/d8111/article/details/45249805

一。了解背景

下面两张图,比较html转义和js的转义。

一定要区分清楚的是,内容回写页面,一定要做的是JS转义!!而不仅仅是html转义

XSS转码 &amp;&amp; struts2 property标签的bug

XSS转码 &amp;&amp; struts2 property标签的bug

从上面两张图可以看出,js里面需要转义到的 单引号',反斜杠\ 均不在html转义字符之列!(如果针对XSS的话,只要对

<

>

'

")

二。<s:property value="xx"/>的稀烂之处

1.这个标签默认是带了html转义的,即完全等同于<s:property value="name" escape="true"/>

2.正确XSS防范做法,应该是后台转义后存储,也就是说存到DB里面的数据,就应该是处理过的!(这里的转义是html&js的综合体):

  1. map.put('<', "&lt;");
  2. map.put('>', "&gt;");
  3. map.put('\'', "'");
  4. map.put('\"', "&quot;");
  5. map.put('&', "&amp;");

在DB层无sql注入防范的时候,甚至需要是三位一体!

拿上面那个例子来说,用户输入name,DB应该存储下面的内容

  1. &lt;script&gt;alert(&#39;xss&#39;)&lt;/script&gt;

但是很不幸,这串字符使用s:property直接输出到页面上,会因为&符号又会促发一次html escape,导致显示问题

XSS转码 &amp;&amp; struts2 property标签的bug

这里就只能继续恶心一把了,每个标签写上:<s:property value="name" escape="false"/> ,徒劳耗费键盘。(这种安全的内容回写比较推荐使用${name}的ongl方式直接输出)

三。严防死守

1.org.springframework.web.util.HtmlUtils, spring自带了一个类来处理,其本质需要注意,基于Char的过滤

看看源代码应该很容易理解

  1. StringBuffer escaped = new StringBuffer(input.length() * 2);
  2. for (int i = 0; i < input.length(); ++i) {
  3. char character = input.charAt(i);
  4. String reference = characterEntityReferences.convertToReference(character);
  5. if (reference != null) {
  6. escaped.append(reference);
  7. }
  8. else {
  9. escaped.append(character);
  10. }

a.使用String.replace(xx)的方式是搞不定的。举例来说,字符j的表示方式有下面15种之多:

  1. \6A\06A\006A\0006A\00006A            //java形式的16进制编码
  2. &#106;&#0106;&#00106;&#000106;&#0000106;           //十 进制编码
  3. jjjjj           //十 六进制编码

b.使用html的过滤方式也是99% OK的,但是像mhtml这样的漏洞,还需要过滤%0d%0a

c.指望过滤<>,过滤scrpit串这些明文,也是靠不住的。

附件是查资料找到的文档,包括:强烈建议一睹为快

1.浅析XSS(Cross Site Script:跨站式攻击)漏洞原理(转)

2.Ajax hacking with XSS

介绍了诸如此类的注入方式,属于眼界开阔篇

  1. <img src="javascript:alert('XSS');">示例:
  2. <img src="&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#39&#88&#83&#83&#39&#41&#59"> //10进制转码 如图三
  1. <img style="xss:expr/*XSS*/ession([code])">            //css的注释符号 为/**/,其中的内容会被忽略
  2.   <style>@im\port'\ja\vasc\ript:alert("XSS")';</style>            //css中忽略的符号还有“\”

~~~~~~~~~~~~~~分割~~~~~~~~~~~~~~

p.s.

1.用Jquery的text()取"&lt;script&gt;alert('xss')&lt;/script&gt;",会被直接读成<script>alert('xss')</script> 。

2. 这个串如果直接使用$("#xxyy").html()输出,会产生alert框。

3.正确的做法是使用innerHTML函数,可以避免字符串中js被执行:document.getElementById("xxyy").innerHTML=