最近公司负责的几个系统中老有漏洞被搜出,多少都是JSP跨站脚本漏洞攻击,总结出的原因,无外呼是在跳转到JSP的页面中带有参数,然后JSP页面接收到参数后没有对一些特殊字符进行过滤,当然,还有一些其他的情况,比如,在页面中有输入框,需要用户手动输入内容时,都有可能出现这种攻击,下面是我针对JSP页面接收参数时,对参数进行过滤处理的方法,可能不全,还请大神指点!
请求链接:
http://a.b.com/login.jsp?successUrl=<script>alert(111)</script>
参数过滤:
String successUrl =request.getParameter("successUrl"); if(StringUtil.isNotNull(successUrl)){ successUrl = successUrl.replaceAll("<","")//匹配尖括号 .replaceAll(">","")//匹配尖括号 .replaceAll("\"","")//匹配双引号 .replaceAll("\'","")//匹配单引号 .replaceAll("\\(.*?\\)","")//匹配左右括号 .replaceAll("[+]","");//匹配加号 }
JSP中使用该参数:
<input type="hidden" name="hidden" id="_hidden" value="<%=successUrl%>" />
这便是一个完整的过程,希望对大家有所帮助。
相关推荐
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
网页常用的jsp 脚本 网页常用的jsp 脚本 网页常用的jsp 脚本 网页常用的jsp 脚本
jsp简单语法,servlet,JSP概述,JSP页面构成,注释,指令,脚本元素,动作元素,错误处理
前台JSP页面脚本
之后,就介绍ASP程序中常见的漏洞,教大家如何分析ASP程序中的漏洞,如注入、跨站等等,同时还介绍一些ASP木马编写技术。最后,还用两个分析完整程序漏洞的例子作为实践,增加一些实战经验。 6、PHP下的黑客技术。...
自己写的批量扫描脚本,很好用,可以借鉴一下
jsp数据库脱裤脚本,脱各种数据库
本资源描述了jsp脚本元素、jsp指令和jsp动作
精心整理的用做网页常用的脚本
利用jsp脚本语言实现页面搜索,非百度谷歌等搜索
JSP中的脚本和动作标签,非常详细,通俗易懂,希望对你有所帮助。
JSP网页模板JSP网页模板JSP网页模板JSP网页模板JSP网页模板JSP网页模板JSP网页模板JSP网页模板JSP网页模板
JSP技术有点类似ASP技术,它是在传统的网页HTML文件(*.htm,*.html)中插入Java程序段(Scriptlet)和JSP标记(tag),从而形成JSP文件(*.jsp)。 用JSP开发的Web应用是跨平台的,即能在Linux下运行,也能在其他操作系统...
jsp sql server数据库连接脚本 支持 sql server 2000 sql server 2005 sql server 2008
任何jsp页面只要使用包含附件中的loading.jsp将自动拥有“页面正在加载的。。”提示信息,在页面加载完后将自动隐藏。 我为什么使用这个组件? 1。交互性。 客户清楚知道,你的页面是在加载,需要等待,而不用...
JSP中java脚本获取绝对路径 。
网页常用的jsp 脚本,我在网上找到的贡献给广大爱好和学习者
主要应用于jsp的页面检测 、里边包括了很多的特殊校验 比如 电话、金额、数字等 。
02-JSP脚本元素指令及动作.ppt
文中介绍一下一些服务器(包括Web服务器和JSP服务器)的常见漏洞:Apache泄露重写的任意文件、在HTTP请求中添加特殊字符导致暴露JSP源代码文件、Tomcat的漏洞、Allair Jrun漏洞有哪些漏洞、Allaire JRUN 2.3 查看...