SpringBoot防止SQL注入XSS攻击CSRFCROS恶意访问
一、SQL 注入问题
(1)什么是 SQL 注入
SQL 注入即是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
简单来说,就是将大部分 SQL 语句当参数传入系统中,从而获取系统中的数据。下面简单举例说明
系统中有这样一条信息 SQL 语句执行,分页查询所有用户,每页查询 20 条,并且根据指定字段进行排序,也就是说排序字段也是参数传递过来的 select * from user_info order by ${fieldName} desc limit ${page}, ${limit}; # 正常执行的SQL select * from user_info order by id desc limit 0, 20; 假如说,懂行的人恶意将排序参数修改为以下格式 select * from user_info order by id; select 1 -- desc limit 0, 20;
SQL 注入问题分析: 攻击者注入了类似这样的参数: -1; 缩表语句-- 其中 ; 前面的语句先执行了由于 -- 后面的语句会被注释掉,接下来只会执行锁表语句,把表锁住正常业务请求从数据库获得连接之后,尝试获取锁表,但是一直获取不到,直到超时 数据库连接池不够用,没有空闲连接 新的业务请求获取不到数据库连接,报错数据库连接过多异常
这样很简单的一句话 SQL,就可以把系统搞炸掉,这种方式可以实现删库跑路 -1; delete from user; --
以上语句会把整个 test 数据库所有内容都删掉 (2)防止 SQL 注入使用预编译机制
尽量用预编译机制,少用字符串拼接的方式传参,它是 sql 注入问题的根源。 要对特殊字符进行转义
有些特殊字符,比如:%作为 like 语句中的参数时,要对其进行转义处理。 要捕获异常
需要对所有的异常情况进行捕获,切记接口直接返回异常信息,因为有些异常信息中包含了 sql 信息,包括:库名,表名,字段名等。攻击者拿着这些信息,就能通过 sql 注入随心所欲地攻击你的数据库了。目前比较主流的做法是,有个专门的网关服务,它统一暴露对外接口。用户请求接口时先经过它,再由它将请求转发给业务服务。这样做的好处是:能统一封装返回数据的返回体,并且如果出现异常,能返回统一的异常信息,隐藏敏感信息。此外还能做限流和权限控制。 使用代码检测工具
使用 sqlMap 等待代码检测工具,它能检测 sql 注入漏洞。 要有监控
需要对数据库 sql 的执行情况进行监控,有异常情况,及时邮件或短信提醒。 数据库账号需控制权限
对生产环境的数据库建立单独的账号,只分配 DML 相关权限,且不能访问系统表。切勿在程序中直接使用管理员账号。 代码 review
建立代码 review 机制,能找出部分隐藏的问题,提升代码质量。 使用其他手段处理
对于不能使用预编译传参时,要么开启 druid 的 filter 防火墙,要么自己写代码逻辑过滤掉所有可能的注入关键字。 二、XSS 攻击问题(1)什么是 XSS 攻击
XSS 攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript,但实际上也可以包括 Java、 VBScript、ActiveX、 Flash 或者甚至是普通的 HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等各种内容。
通常情况下,被用来盗用 Cookie、破坏页面结构、重定向到其他网站等 (2)防止 XSS 攻击
对用户输入的表单信息进行检测过滤 三、CSRF/CROS 恶意访问(1)什么是 CSRF/CROS 恶意访问
CSRF - Cross-Site Request Forgery - 跨站请求伪造:
攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,CORS - Cross Origin Resourse-Sharing - 跨站资源共享,恶意访问内网敏感资源。 (2)解决办法
有效的解决办法是通过多种条件屏蔽掉非法的请求,例如 HTTP 头、参数等: 不信任未经身份验证的跨域请求,应该首先验证 Session ID 或者 Cookie 对于请求方来说验证接收的数据有效性,服务方仅暴露最少最必须的功能 通过多种条件屏蔽掉非法的请求,例如 HTTP 头、参数等 服务端代码跨域设置,设置了 nginx 转发,也可设置在 nginx 中
防止大规模的恶意请求,niginx 反向代理可以配置请求频率,对 ip 做限制。nginx 可以很方便地做访问控制,特别是一些偶发性的大量恶意请求,需要屏蔽处理。
屏蔽 ip 地址 location /someapi/ { allow ip; #特定接口只开放给某个ip调用 deny all; } location /somepage/ { deny ip; #屏蔽某个ip访问(iptables可以拒绝某个ip连接) allow all; }
屏蔽 user-agent if ($http_user_agent = Mozilla/5.0 ) { return 403; } #有些请求头很明显不是用户浏览器 分析nginx日志,找出恶意ip或user-agent cat /var/log/nginx/access.log | awk -F" "{A[$(NF-1)]++}END{for(k in A)print A[k],k}" | sort -n |tail 122 58.144.7.66 337 106.91.201.75 2270 122.200.77.170 #显然这个ip不正常,而且这不是nginx所知道的真实ip,而是 $http_x_forwarded_for变量
屏蔽代理 ip
有两种情形会需要屏蔽代理 ip:一是代理 ip 访问,二是负载均衡(real-ip 请求负载均衡服务器,再代理给后端 server) vi /etc/nginx/badproxy.rules map $http_x_forwarded_for $badproxy { default 0; ~*122.200.77.170 1; #建立映射 } vi /etc/nginx/nginx.conf http { include /etc/nginx/badproxy.rules #这个要在server配置之前 server { location /somepage/ { if ( $badproxy ) { return 403; } } } }四、解决方案
创建 XssAndSqlHttpServletRequestWrapper 包装器,这是实现 XSS 过滤的关键,在其内重写了 getParameter,getParameterValues,getHeader 等方法,对 http 请求内的参数进行了过滤 import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; import java.util.Enumeration; import java.util.HashMap; import java.util.Map; import java.util.Set; import java.util.Vector; import java.util.regex.Pattern; import javax.servlet.ReadListener; import javax.servlet.ServletInputStream; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import org.springframework.util.StreamUtils; import com.sgcc.uap.utils.stream.StreamUtil; public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest orgRequest = null; private Map parameterMap; private final byte[] body; //用于保存读取body中数据 public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) throws IOException{ super(request); orgRequest = request; parameterMap = request.getParameterMap(); body = StreamUtils.copyToByteArray(request.getInputStream()); } // 重写几个HttpServletRequestWrapper中的方法 /** * 获取所有参数名 * * @return 返回所有参数名 */ @Override public Enumeration getParameterNames() { Vector vector = new Vector(parameterMap.keySet()); return vector.elements(); } /** * 覆盖getParameter方法,将参数名和参数值都做xss & sql过滤。
* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 */ @Override public String getParameter(String name) { String[] results = parameterMap.get(name); if (results == null || results.length <= 0) return null; else { String value = results[0]; if (value != null) { value = xssEncode(value); } return value; } } /** * 获取指定参数名的所有值的数组,如:checkbox的所有数据 接收数组变量 ,如checkobx类型 */ @Override public String[] getParameterValues(String name) { String[] results = parameterMap.get(name); if (results == null || results.length <= 0) return null; else { int length = results.length; for (int i = 0; i < length; i++) { results[i] = xssEncode(results[i]); } return results; } } /** * 覆盖getHeader方法,将参数名和参数值都做xss & sql过滤。
* 如果需要获得原始的值,则通过super.getHeaders(name)来获取
* getHeaderNames 也可能需要覆盖 */ @Override public String getHeader(String name) { String value = super.getHeader(xssEncode(name)); if (value != null) { value = xssEncode(value); } return value; } /** * 将容易引起xss & sql漏洞的半角字符直接替换成全角字符 * * @param s * @return */ private static String xssEncode(String s) { if (s == null || s.isEmpty()) { return s; } else { s = stripXSSAndSql(s); } StringBuilder sb = new StringBuilder(s.length() + 16); for (int i = 0; i < s.length(); i++) { char c = s.charAt(i); switch (c) { case ">": sb.append(" ");// 转义大于号 break; case "<": sb.append(" ");// 转义小于号 break; // case """: // sb.append("'");// 转义单引号 // break; // case """: // sb.append(""");// 转义双引号 // break; case "&": sb.append("&");// 转义& break; case "#": sb.append("#");// 转义# break; default: sb.append(c); break; } } return sb.toString(); } /** * 获取最原始的request * * @return */ public HttpServletRequest getOrgRequest() { return orgRequest; } /** * 获取最原始的request的静态方法 * * @return */ public static HttpServletRequest getOrgRequest(HttpServletRequest req) { if (req instanceof XssAndSqlHttpServletRequestWrapper) { return ((XssAndSqlHttpServletRequestWrapper) req).getOrgRequest(); } return req; } /** * * 防止xss跨脚本攻击(替换,根据实际情况调整) */ public static String stripXSSAndSql(String value) { if (value != null) { // NOTE: It"s highly recommended to use the ESAPI library and // uncomment the following line to // avoid encoded attacks. // value = ESAPI.encoder().canonicalize(value); // Avoid null characters /** value = value.replaceAll("", ""); ***/ // Avoid anything between script tags Pattern scriptPattern = Pattern.compile( "<[r | | ]*script[r | | ]*>(.*?)[r>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); // Avoid anything in a // src="/a2020/img/data-img.jpg" data-src="http://www.yihaomen.com/article/java/..." type of // e-xpression scriptPattern = Pattern.compile("src[r | | ]*=[r | | ]*["|\"](.*?)["|\"]", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // Remove any lonesome tag scriptPattern = Pattern.compile("[r>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); // Remove any lonesome tag scriptPattern = Pattern.compile("[r>", Pattern.CASE_INSENSITIVE); flag = scriptPattern.matcher(value).find(); if (flag) { return flag; } // Remove any lonesome