彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)

目录

一,背景

二,名词解释

三,xss修复的一般处理方法

四、扩展jackson定制自己的objectMapper处理json出入参的转义

五、结语


一,背景

昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求的xss注入和post请求非json的注入,但是我们的注册页面保存接口的入参是json格式的,所以没有处理到。最后经过各种查找资料、阅读springmvc的源码和偿试,终于解决了,能够对入参和出参(包括json格式)进行转义的方法。

二,名词解释

xss是跨站脚本攻击。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。比如在页面的input输入框中输入一段js代码,如果没有做任何处理就保存到数据库,在页面回显时就会直接执行这段js,导致cookie盗取,钓鱼劫持等风险。

三,xss修复的一般处理方法

springmvc中常见的是用Filter来预防 , 就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法,在获取参数时对参数中的字符串进行转义,来进行XSS判断预防。网上很多说的是这种方法,但是这种方式不能对json格式的入参进行转义,所以还是存在问题的

1,XssFilter

package com.xss.web.filter;

import com.tqmall.web.converter.XssStringJsonSerializer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Primary;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * 跨站脚本攻击过滤器
 * 
 * 
 */
public class XssFilter implements Filter {

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		// TODO Auto-generated method stub

	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		// TODO Auto-generated method stub
		chain.doFilter(new XssRequestWrapper((HttpServletRequest) request), response);
	}

	@Override
	public void destroy() {
		// TODO Auto-generated method stub

	}

}

2,在web.xml中添加filter


    
        跨站脚本攻击过滤器
        XssFilter
        com.xss.web.filter.XssFilter
    

    
        XssFilter
        /*
    

3,XssRequestWrapper

package com.xss.web.filter;

import com.alibaba.fastjson.JSON;
import com.sun.xml.internal.bind.v2.TODO;
import org.springframework.web.util.HtmlUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.Map;

/**
 * 跨站脚本请求包装器,将html脚本转译成普通字符串
 *
 *
 */
public class XssRequestWrapper extends HttpServletRequestWrapper {

	public XssRequestWrapper(HttpServletRequest request) {
		super(request);
	}

	@Override
	public String[] getParameterValues(String parameter) {
		String[] values = super.getParameterValues(parameter);
		if (values == null) {
			return null;
		}
		int count = values.length;
		String[] encodedValues = new String[count];
		for (int i = 0; i < count; i++) {
			encodedValues[i] = cleanXSS(values[i]);
		}
		return encodedValues;
	}

	@Override
	public String getHeader(String name) {
		String value = super.getHeader(name);
		return cleanXSS(value);
	}

	/**
	 * 转译get入参,防止站点脚本注入
	 */
	@Override
	public String getParameter(String parameter) {
		String value = super.getParameter(parameter);
		return cleanXSS(value);
	}

	private String cleanXSS(String value) {
		if(value!=null){
			value = HtmlUtils.htmlEscape(value);
		}
		return value;
	}

}

四、扩展jackson定制自己的objectMapper处理json出入参的转义

大家都知道,springmvc是通过MappingJackson2HttpMessageConverter对json进行序列化和反序列化的,所以我们可以自定义objectMapper对json中的字符中进行转义。

1,spring-mvc.xml


		
			
				
					
						text/html;charset=UTF-8
						application/json;charset=UTF-8
					
				
				
					
				
			
		
	

2,自定义ObjectMapper,网上很多是继承JsonSerializer类,根据类名可知这是对序列化的json进行处理,也就是对出参的json进行转义,经过查找资料,才找到JsonDeserializer是对反序列化的json进行处理,也就是可对入参的json进行转义。

其中内部类JsonHtmlXssSerializer是对入参的json进行转义,JsonHtmlXssDeserializer是对出参的json进行转义,预访xss漏洞只需要一个,即转义入参或转义出参的任意一个就可以,这里只是把两种实现都贴出来了。

package com.xss.web.converter;

import com.fasterxml.jackson.core.JsonParser;
import com.fasterxml.jackson.databind.*;
import org.springframework.web.util.HtmlUtils;
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.core.Version;
import com.fasterxml.jackson.databind.module.SimpleModule;

import java.io.IOException;

/**
 * @Date:2019/5/6 18:59
 */
public class CustomObjectMapper extends ObjectMapper {
    private static final long serialVersionUID = -3448961813323784217L;

    public CustomObjectMapper() {
        SimpleModule module = new SimpleModule("XssStringJsonSerializer");
        module.addSerializer(new JsonHtmlXssSerializer(String.class));
        module.addDeserializer(String.class,new JsonHtmlXssDeserializer(String.class));
        this.registerModule(module);
    }

    /**
     * 对出参的json进行转义
     */
    class JsonHtmlXssSerializer extends JsonSerializer {

        public JsonHtmlXssSerializer(Class string) {
            super();
        }

        @Override
        public Class handledType() {
            return String.class;
        }
        @Override
        public void serialize(String value, JsonGenerator jsonGenerator,
                              SerializerProvider serializerProvider) throws IOException{
            if (value != null) {
                String encodedValue = HtmlUtils.htmlEscape(value.toString());
                jsonGenerator.writeString(encodedValue);
            }
        }
    }

    /**
     * 对入参的json进行转义
     */
    class JsonHtmlXssDeserializer extends JsonDeserializer {

        public JsonHtmlXssDeserializer(Class string) {
            super();
        }

        @Override
        public Class handledType() {
            return String.class;
        }

        @Override
        public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException, JsonProcessingException {
            String value = jsonParser.getValueAsString();
            if (value != null) {
                return HtmlUtils.htmlEscape(value.toString());
            }
            return value;
        }
    }
}

五、结语

网上还有很多解决json格式xss漏洞的方法,有重写filter中getInputStream方法,或者重载MappingJackson2HttpMessageConverter类的,或许是我在尝试的方法有问题,只有自定义ObjectMapper是正常的,如有问题,请批评指正。

参考资料:

https://blog.csdn.net/zhuangnet/article/details/78744004

http://ju.outofmemory.cn/entry/63726

https://www.songma.com/news/txtlist_i24361v.html

https://www.zhihu.com/question/32486587

https://blog.csdn.net/wysnxzm/article/details/83339927

http://unclechen.github.io/2019/01/02/Jackson%E8%87%AA%E5%AE%9A%E4%B9%89%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96Deserializer/

 

 

 

 

 

你可能感兴趣的:(java技术)