JAVA代码审计XSS及Filter动态代理过滤
1.介绍
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss
所以拿出来给大家进行简单分析,后续通过动态代理进行过滤。
2.代码分析
这里就只分析用户添加的页面了,可以看到在未做任何过滤的情况触发XSS
在add.jsp页面发现了Servlet
之后跟进该Servlet,通过获取用户输入进行发送到Service,Service在发送到Dao进行处理
Dao层用的是JDBCtemplate实现,经过测试发现如果使用PreparedStatement连接数据库的话,PreparedStatement会过滤掉常见的XSS代码
…
但是PreparedStatement过滤一般常用的确实可以,但是鸡肋一点的话,就很轻松绕过了。
//鸡肋点的语句…
在AddServlet可以看到,最后进行了重定向,而ListUser就是首页
resp.sendRedirect("/Students/ListUser");
跟进AddServlet之后,可以发现该Servlet执行了findALL(),该方法其实就是service层–>Dao层的查询全部用户信息。并存储到了list中。之后设置setAttribute之后进行了请求转发到list.jsp
跟进list.jsp之后,可以发现将用户的信息使用JSTL遍历出并显示。全程毫无过滤。
3.Filter动态代理过滤
这里本人简单写了一下过滤。只过滤了< >标签。后续可以根据自己需求进行改进。
写的很简单,就不多说了。
@WebFilter("/*")
public class MyFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
ServletRequest servlet = (ServletRequest)Proxy.newProxyInstance(servletRequest.getClass().getClassLoader(), servletRequest.getClass().getInterfaces(), new InvocationHandler() {
@Override
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
if(method.getName().equals("getParameter")){
String value = (String)method.invoke(servletRequest,args);//获取输入的value
value = value.replaceAll(">","*");//将值替换
value = value.replaceAll("<","*");
return value;
}else{
System.out.println("没有匹配成功");
}
return method.invoke(servletRequest,args);
}
});
filterChain.doFilter(servlet,servletResponse);
}
@Override
public void destroy() {
}
之后可以发现过滤成功
