XSS prévention en JSP/Servlet application web

Comment puis-je empêcher les attaques XSS dans une JSP/Servlet application web?

InformationsquelleAutor newbie | 2010-04-17
  1. 97

    XSS peut être évité en JSP en utilisant JSTL <c:out> tag ou fn:escapeXml() EL de la fonction lors de la (re)affichage contrôlée par l'utilisateur d'entrée. Cela inclut les paramètres de la demande, en-têtes, les cookies, URL, corps, etc. Tout ce qui vous extraire de l'objet de requête. Aussi l'utilisateur à l'entrée contrôlée à partir de la précédente demande qui est stockée dans une base de données doit être échappés lors de l'affichage.

    Par exemple:

    <p><c:out value="${bean.userControlledValue}"></p>
<p><input name="foo" value="${fn:escapeXml(param.foo)}"></p>

    Cela permettra d'échapper les caractères qui peuvent malform le rendu HTML comme <, >, ", ' et & en HTML/XML entités comme &lt;, &gt;, &quot;, &apos; et &amp;.

    Notez que vous n'avez pas besoin d'échapper à la Java (Servlet) du code, puisqu'ils sont inoffensifs, là-bas. Certains peuvent opter pour leur échapper pendant demande de traitement (comme vous le faites dans le Servlet ou Filtre) au lieu de réponse de traitement (comme vous le faites dans JSP), mais de cette façon, vous pouvez risque que les données inutilement obtenir le double échappement (par exemple & devient &amp;amp; au lieu de &amp; et, finalement, l'utilisateur final serait de voir &amp; être présenté), ou que le DB-données stockées devient portables (par exemple, lors de l'exportation de données en JSON, CSV, XLS, PDF, etc qui ne nécessite pas de HTML échapper à tous). Vous aurez aussi perdre le contrôle social, parce que vous ne savez plus ce que l'utilisateur a effectivement rempli. Vous feriez comme étant un administrateur du site aiment vraiment de savoir quels utilisateurs/IPs sont en train de s'exécuter XSS, de sorte que vous pouvez facilement suivre et de prendre des mesures en conséquence. De s'échapper pendant le traitement de la demande devraient seulement être utilisés en tant que dernier recours, quand vous avez vraiment besoin de fixer une épave de train d'un mal développé web de l'héritage d'application dans le temps le plus court possible. Néanmoins, vous devriez en fin de compte réécrire vos fichiers JSP pour devenir XSS-fort.

    Si vous souhaitez afficher de nouveau contrôlée par l'utilisateur saisie au format HTML dans lequel vous souhaitez autoriser uniquement un sous-ensemble de balises HTML comme <b>, <i>, <u>, etc, alors vous devez désinfecter l'entrée par une liste blanche. Vous pouvez utiliser un analyseur HTML comme Jsoup pour cela. Mais, beaucoup mieux est d'introduire un homme sympathique langage de balisage tel que Markdown (également utilisé ici sur Stack Overflow). Ensuite, vous pouvez utiliser un Abattement de l'analyseur comme CommonMark pour cela. Il a également builtin HTML désinfection des capacités. Voir aussi Je suis à la recherche d'un codeur HTML Java.

    La seule préoccupation dans le côté serveur à l'égard des bases de données est L'injection SQL de prévention. Vous devez vous assurer que vous n'avez jamais à la chaîne concaténer contrôlée par l'utilisateur saisie directement dans le SQL ou requête JPQL et que vous êtes en utilisant des requêtes paramétrées dans tous les sens. Dans JDBC termes, cela signifie que vous devez utiliser PreparedStatement au lieu de Statement. En JPA termes, l'utilisation Requête.

    Une autre solution serait de migrer à partir de JSP/Servlet Java EE du framework MVC JSF. Il a builtin XSS (et CSRF!) la prévention sur tous les lieux. Voir aussi CSRF, XSS et attaque par Injection SQL de prévention dans JSF.

    • Juste parce que vous êtes en utilisant Hibernate, ne signifie pas que vous êtes sûr de l'injection SQL. Voir blog.harpoontech.com/2008/10/... par exemple.
    • ce n'est pas vrai. C'est uniquement le cas lorsque vous êtes à la chaîne de la concaténation de l'utilisateur entrée contrôlée directement en SQL/requêtes HQL/requête JPQL comme "SELECT ... WHERE SOMEVAL = " + someval au lieu d'utiliser des requêtes paramétrées comme vous l'avez indiqué. Pas un ORM peut protéger contre ce genre de développeur erreurs.
    • Doh! Je l'avais inversé. Vulnérables exemple: Query query = session.createQuery("SELECT * from TABLE where SOMEVAL =" + someval); à l'Aide de la syntaxe de liaison ":" en veille prolongée (comme mon exemple ci-dessus) empêche l'injection SQL. La suppression de commentaire pour empêcher quelqu'un en utilisant mon mauvais exemple.
    • Je pense que vous N'avez pas à valider dans le serveur aswell. Tous la validation peut être contourné en modifiant les paramètres HTTP. Et parfois, les données que vous persistez peut être consommé par d'autres applications dans une entreprise application. Parfois, vous n'avez pas d'accès aux points de vue des autres applications de sorte que vous besoin de sanitze l'entrée avant de la persistance dans la base de données.
    • vous n'êtes pas à la compréhension du problème.
    • merci de développer.
    • Salut Bal, en utilisant la vôtre suggestion j'ai supprimé 4 XSS dans mon app merci beaucoup pour la solution utile. Ici, j'ai besoin de vôtre suggestion à nouveau comme je l'affichage des dom objet à l'aide de jstl espression comme <div><c:out value="${htmlContent}" escapeXml="false" /></div> ici htmlContentvaleur est quelque chose comme <span><h1>Hi</h1></span> (cette valeur provenant de la base de données) maintenant, si je retire escapeXml="false" de c:out puis sa s'affiche comme il est sur la page, alors si garder escapeXml="false" son analyse de l'objet dom correctement, mais lorsque mon htmlContent avoir un code de script puis xss question est à venir.
    • si htmlContent est <span><h1><script>alert("Hi");</script></h1></span> alors si j'utilise <c:out value="${htmlContent}" escapeXml="false" /></div> en jsp puis sur le navigateur de l'utilisateur obtiendra boîte d'alerte de sorte qu'il peut leades XSS question. Merci de me suggérer ce que je peux faire dans cette situation.
    • Viens de lire le 4ème paragraphe de la réponse qui dit quelque chose à propos de la gestion contrôlées par l'utilisateur HTML.
    • Grande réponse @BalusC Merci beaucoup! Petite question, si vous n'avez pas l'esprit. Donc je ne devrait pas échapper html sur la saisie de l'utilisateur, que lors de l'affichage il? C'est ce que tu veux dire par double échapper? Et si non, comment fait-on pour échapper à la saisie de l'utilisateur à l'aide d'un textarea, pas un champ de saisie? Est ( htmlEscape="true" ) correct?
    • Veuillez noter: "entité HTML de codage ne fonctionne pas si vous êtes de mettre les données non fiables à l'intérieur d'un <script> tag n'importe où, ou un gestionnaire d'événement attribut comme onmouseover, ou à l'intérieur de CSS, ou dans une URL." github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/...
    • Yup, lors de la mise en données non fiables à l'intérieur du code JS, vous devez vous JS-coder au lieu de HTML-encoder. Et, lors de la mise en données non fiables à l'intérieur de code CSS, vous avez besoin de CSS-coder au lieu de HTML-encoder. Et, lors de la mise en données non fiables à l'intérieur d'Url, vous devez vous encoder au lieu de HTML-encoder. Codage HTML doit être utilisé uniquement pour mettre les données non fiables à l'intérieur de code HTML.
    • Juste pour ajouter quelques infos ici, escapeXml propriété par défaut dans c:out tag est "vrai"

    InformationsquelleAutor BalusC
  2. 12

    La façon de prévenir les attaques de type xss a été posée à plusieurs reprises. Vous trouverez une foule d'informations sur StackOverflow. Aussi, OWASP site web dispose d'un XSS prévention de la feuille de triche que vous devez passer par.

    Sur les bibliothèques à utiliser, OWASP de l'ESAPI bibliothèque a un java saveur. Vous devriez essayer ça. En outre, chaque framework que vous utilisez a une certaine protection contre les attaques de type XSS. Encore une fois, OWASP site présente de l'information sur les cadres les plus populaires, donc je vous conseille de passer par leur site.

    InformationsquelleAutor Sripathi Krishnan
  3. 12

    J'ai eu beaucoup de chance avec OWASP Anti-Samy et un AspectJ conseiller sur tous mes Printemps Contrôleurs de blocs XSS d'entrer.

    public class UserInputSanitizer {

    private static Policy policy;
    private static AntiSamy antiSamy;

    private static AntiSamy getAntiSamy() throws PolicyException  {
        if (antiSamy == null) {
            policy = getPolicy("evocatus-default");
            antiSamy = new AntiSamy();
        }
        return antiSamy;

    }

    public static String sanitize(String input) {
        CleanResults cr;
        try {
            cr = getAntiSamy().scan(input, policy);
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
        return cr.getCleanHTML();
    }

    private static Policy getPolicy(String name) throws PolicyException {
        Policy policy = 
            Policy.getInstance(Policy.class.getResourceAsStream("/META-INF/antisamy/" + name + ".xml"));
        return policy;
    }

}

    Vous pouvez obtenir le AspectJ conseiller de la cette stackoverflow post

    Je pense que c'est une meilleure approche alors c:en particulier si vous faites beaucoup de javascript.

    • La pratique normale est de HTML échapper à tout contrôlé par l'utilisateur des données lors de l'affichage, pas pendant le traitement des données présentées dans le servlet, ni pendant le stockage en DB. Si vous HTML échapper pendant le traitement des données envoyées et/ou le stockage dans la DB ainsi, puis c'est tout, réparties sur le code de commerce et/ou dans la base de données. C'est seulement à l'entretien de la difficulté et vous serez risque de double échappe ou plus quand vous la faites à différents endroits. Le code de commerce et DB sont pas sensibles pour les XSS. Seule la vue est. Ensuite, vous devez échapper à seulement là, dans la vue.
    • Oui et non. Bien que la pratique générale est de s'échapper sur l'écran il y a de nombreuses raisons que vous pourriez vouloir désinfecter à écrire. Il y a certains cas où vous ne souhaitez que vos utilisateurs à entrer un sous-ensemble du langage HTML et bien que vous pouvez désinfecter sur l'écran c'est en fait plutôt lent et même source de confusion pour les utilisateurs. Deuxième, si vous partager les données avec les services de 3ème partie, comme les Api externe ces services peuvent ou ne peuvent pas faire la bonne désinfection eux-mêmes.
    • comme vous et moi, à la fois mentionné, la "pratique normale" est de s'échapper sur l'affichage. Ce que vous avez mentionné dans vous commentaire ci-dessus sont plus des cas d'utilisation spécifiques et donc agréablement exigent des solutions spécifiques.
    • Oui, je devrait peut-être faire de mon cas d'utilisation de plus en plus clair. Je travaille principalement sur la gestion de contenu (édition de code HTML) des choses.
    InformationsquelleAutor Adam Gent
  4. 7

    Gestion XSS exige de multiples validations, les données côté client.

    1. Validations d'entrée (validation de formulaire) sur le côté Serveur. Il existe plusieurs façons d'aller à ce sujet. Vous pouvez essayer de la JSR 303 bean validation(hibernate validator), ou ESAPI de Validation de la Saisie cadre. Bien que je n'ai pas essayé moi-même (encore), il y a une annotation qui vérifie pour la sécurité de html (@SafeHtml). Vous pouvez en effet utiliser Hibernate validator avec Spring MVC pour bean validations -> Ref
    2. Échapper à des demandes d'URL - Pour toutes vos demandes HTTP, utilisez une sorte de filtre XSS. J'ai utilisé les méthodes suivantes pour notre web app et il prend soin de nettoyer l'URL HTTP request - http://www.servletsuite.com/servlets/xssflt.htm
    3. S'échapper de données/html retourné au client (voir plus haut à @BalusC explication).
    InformationsquelleAutor MasterV
  5. 3

    Je proposerais régulièrement des tests de vulnérabilités à l'aide d'un outil automatisé, et la fixation de tout ce qu'il trouve. Il est beaucoup plus facile de suggérer une bibliothèque pour les aider avec une vulnérabilité spécifique pour toutes les attaques XSS en général.

    Skipfish est un outil open source de Google que j'ai étudié: il trouve beaucoup de choses, et semble valoir la peine de l'utiliser.

    • La prévention est mieux que le diagnostic (par exemple. skipfish) suivi par la suite solutions rapides.
    • Je suis en désaccord. La prévention sans diagnostic est juste un dogme. Exécutez le diagnostic dans le cadre de votre IC cycle, afin d'éviter le "quick fix" problème.
    InformationsquelleAutor Sean Reilly
  6. 3

    Il n'est pas facile, hors de la boîte solution contre les XSS. L'OWASP ESAPI API a un certain appui pour l'échappement qui est très utile, et ils ont des bibliothèques de balises.

    Mon approche était essentiellement à étendre le stuts 2 balises dans l'une des façons suivantes.

    1. Modifier s:la balise de propriété de sorte qu'il peut prendre attributs supplémentaires indiquant de quelle sorte de s'échapper est nécessaire (escapeHtmlAttribute="true" etc.). Cela implique la création d'une nouvelle Propriété et PropertyTag classes. La Propriété de la classe utilise OWASP ESAPI api pour échapper.
    2. Changement freemarker modèles pour utiliser la nouvelle version de s:de la propriété et de l'ensemble de l'échappement.

    Si vous ne voulez pas modifier les classes dans l'étape 1, une autre approche serait d'importer l'ESAPI tags dans le freemarker modèles et échapper au besoin. Alors si vous avez besoin d'utiliser un s:propriété de la balise dans votre JSP, enveloppez-la avec et ESAPI tag.

    J'ai écrit une explication plus détaillée ici.

    http://www.nutshellsoftware.org/software/securing-struts-2-using-esapi-part-1-securing-outputs/

    Je suis d'accord échapper à des entrées n'est pas l'idéal.

    InformationsquelleAutor brett.carr
  7. 2

    Mon opinion personnelle est que vous devriez éviter d'utiliser des JSP/ASP/PHP/etc pages. Au lieu de sortie à une API similaire à SAX (uniquement conçu pour vocation plutôt que sur le traitement). De cette façon, il y a une seule couche de créer ainsi formé de sortie.

    InformationsquelleAutor Tom Hawtin - tackline
  8. 2

    Si vous voulez échapper automatiquement tous JSP variables sans avoir explicitement envelopper chaque variable, vous pouvez utiliser un EL de résolution comme détaillé ici avec plein de source et un exemple (JSP 2.0 ou plus récente), et discuté plus en détail ici:

    Par exemple, en utilisant le ci-dessus mentionné EL résolveur, votre code JSP restera comme ça, mais chaque variable sera automatiquement échappées par le solveur

    ...
<c:forEach items="${orders}" var="item">
  <p>${item.name}</p>
  <p>${item.price}</p>
  <p>${item.description}</p>
</c:forEach>
...

    Si vous voulez la force de s'échapper par défaut au Printemps, vous pourriez envisager de cela, mais il n'échappe pas à EL expressions, juste la balise de sortie, je pense:

    http://forum.springsource.org/showthread.php?61418-Spring-cross-site-scripting&p=205646#post205646

    Remarque: une Autre approche de EL échappement qui utilise des transformations XSL pour prétraiter les fichiers JSP peuvent être trouvés ici:

    http://therning.org/niklas/2007/09/preprocessing-jsp-files-to-automatically-escape-el-expressions/

    InformationsquelleAutor Brad Parks
  9. 0

    Si vous voulez vous assurer que votre $ opérateur ne souffre pas de XSS hack vous pouvez mettre en œuvre ServletContextListener et faire quelques vérifications de là.

    La solution complète à: http://pukkaone.github.io/2011/01/03/jsp-cross-site-scripting-elresolver.html

    @WebListener
public class EscapeXmlELResolverListener implements ServletContextListener {
private static final Logger LOG = LoggerFactory.getLogger(EscapeXmlELResolverListener.class);
@Override
public void contextInitialized(ServletContextEvent event) {
LOG.info("EscapeXmlELResolverListener initialized ...");        
JspFactory.getDefaultFactory()
.getJspApplicationContext(event.getServletContext())
.addELResolver(new EscapeXmlELResolver());
}
@Override
public void contextDestroyed(ServletContextEvent event) {
LOG.info("EscapeXmlELResolverListener destroyed");
}
/**
* {@link ELResolver} which escapes XML in String values.
*/
public class EscapeXmlELResolver extends ELResolver {
private ThreadLocal<Boolean> excludeMe = new ThreadLocal<Boolean>() {
@Override
protected Boolean initialValue() {
return Boolean.FALSE;
}
};
@Override
public Object getValue(ELContext context, Object base, Object property) {
try {
if (excludeMe.get()) {
return null;
}
//This resolver is in the original resolver chain. To prevent
//infinite recursion, set a flag to prevent this resolver from
//invoking the original resolver chain again when its turn in the
//chain comes around.
excludeMe.set(Boolean.TRUE);
Object value = context.getELResolver().getValue(
context, base, property);
if (value instanceof String) {
value = StringEscapeUtils.escapeHtml4((String) value);
}
return value;
} finally {
excludeMe.remove();
}
}
@Override
public Class<?> getCommonPropertyType(ELContext context, Object base) {
return null;
}
@Override
public Iterator<FeatureDescriptor> getFeatureDescriptors(ELContext context, Object base){
return null;
}
@Override
public Class<?> getType(ELContext context, Object base, Object property) {
return null;
}
@Override
public boolean isReadOnly(ELContext context, Object base, Object property) {
return true;
}
@Override
public void setValue(ELContext context, Object base, Object property, Object value){
throw new UnsupportedOperationException();
}
}
}

    De nouveau: on ne garde la $. Veuillez également consulter les autres réponses.

    InformationsquelleAutor Alireza Fattahi