「SpringCloud」(五十一) Gateway拦截器实现防止SQL注入/XSS攻击

  SQL注入是常见的系统安全问题之一,用户通过特定方式向系统发送SQL脚本,可直接自定义操作系统数据库,如果系统没有对SQL注入进行拦截,那么用户甚至可以直接对数据库进行增删改查等操作。

  XSS全称为Cross Site Script跨站点脚本攻击,和SQL注入类似,都是通过特定方式向系统发送攻击脚本,对系统进行控制和侵害。SQL注入主要以攻击数据库来达到攻击系统的目的,而XSS则是以恶意执行前端脚本来攻击系统。

  项目框架中使用mybatis/mybatis-plus数据持久层框架,在使用过程中,已有规避SQL注入的规则和使用方法。但是在实际开发过程中,由于各种原因,开发人员对持久层框架的掌握水平不同,有些特殊业务情况必须从前台传入SQL脚本。这时就需要对系统进行加固,防止特殊情况下引起的系统风险。

  在微服务架构下,我们考虑如何实现SQL注入/XSS攻击拦截时,肯定不会在每个微服务都实现一遍SQL注入/XSS攻击拦截。根据我们微服务系统的设计,所有的请求都会经过Gateway网关,所以在实现时就可以参照前面的日志拦截器来实现。在接收到一个请求时,通过拦截器解析请求参数,判断是否有SQL注入/XSS攻击参数,如果有,那么返回异常即可。

  我们前面在对微服务Gateway进行自定义扩展时,增加了Gateway插件功能。我们会根据系统需求开发各种Gateway功能扩展插件,并且可以根据系统配置文件来启用/禁用这些插件。下面我们就将防止SQL注入/XSS攻击拦截器作为一个Gateway插件来开发和配置。

1、新增SqlInjectionFilter 过滤器和XssInjectionFilter过滤器,分别用于解析请求参数并对参数进行判断是否存在SQL注入/XSS攻脚本。此处有公共判断方法,通过配置文件来读取请求的过滤配置,因为不是多有的请求都会引发SQL注入和XSS攻击,如果无差别的全部拦截和请求,那么势必影响到系统的性能。

/**
 * 防sql注入
 * @author GitEgg
 */
@Log4j2
@AllArgsConstructor
public class SqlInjectionFilter implements GlobalFilter, Ordered {

......

        // 当返回参数为true时,解析请求参数和返回参数
        if (shouldSqlInjection(exchange))
        {
            MultiValueMap queryParams = request.getQueryParams();
            boolean chkRetGetParams = SqlInjectionRuleUtils.mapRequestSqlKeyWordsCheck(queryParams);
    
            boolean chkRetJson = false;
            boolean chkRetFormData = false;
            
            HttpHeaders headers = request.getHeaders();
            MediaType contentType = headers.getContentType();
            long length = headers.getContentLength();

            if(length > 0 && null != contentType && (contentType.includes(MediaType.APPLICATION_JSON)
                    ||contentType.includes(MediaType.APPLICATION_JSON_UTF8))){
                chkRetJson = SqlInjectionRuleUtils.jsonRequestSqlKeyWordsCheck(gatewayContext.getRequestBody());
            }
            
            if(length > 0 && null != contentType  && contentType.includes(MediaType.APPLICATION_FORM_URLENCODED)){
                log.debug("[RequestLogFilter](Request)FormData:{}",gatewayContext.getFormData());
                chkRetFormData = SqlInjectionRuleUtils.mapRequestSqlKeyWordsCheck(gatewayContext.getFormData());
            }
            
            if (chkRetGetParams || chkRetJson || chkRetFormData)
            {
                return WebfluxResponseUtils.responseWrite(exchange, "参数中不允许存在sql关键字");
            }
            return chain.filter(exchange);
        }
        else {
            return chain.filter(exchange);
        }
    }

......

}

/**
 * 防xss注入
 * @author GitEgg
 */
@Log4j2
@AllArgsConstructor
public class XssInjectionFilter implements GlobalFilter, Ordered {

 ......

        // 当返回参数为true时,记录请求参数和返回参数
        if (shouldXssInjection(exchange))
        {
            MultiValueMap queryParams = request.getQueryParams();
            boolean chkRetGetParams = XssInjectionRuleUtils.mapRequestSqlKeyWordsCheck(queryParams);
    
            boolean chkRetJson = false;
            boolean chkRetFormData = false;
            
            HttpHeaders headers = request.getHeaders();
            MediaType contentType = headers.getContentType();
            long length = headers.getContentLength();

            if(length > 0 && null != contentType && (contentType.includes(MediaType.APPLICATION_JSON)
                    ||contentType.includes(MediaType.APPLICATION_JSON_UTF8))){
                chkRetJson = XssInjectionRuleUtils.jsonRequestSqlKeyWordsCheck(gatewayContext.getRequestBody());
            }
            
            if(length > 0 && null != contentType  && contentType.includes(MediaType.APPLICATION_FORM_URLENCODED)){
                log.debug("[RequestLogFilter](Request)FormData:{}",gatewayContext.getFormData());
                chkRetFormData = XssInjectionRuleUtils.mapRequestSqlKeyWordsCheck(gatewayContext.getFormData());
            }
            
            if (chkRetGetParams || chkRetJson || chkRetFormData)
            {
                return WebfluxResponseUtils.responseWrite(exchange, "参数中不允许存在XSS注入关键字");
            }
            return chain.filter(exchange);
        }
        else {
            return chain.filter(exchange);
        }
    }

......

}

2、新增SqlInjectionRuleUtils工具类和XssInjectionRuleUtils工具类,通过正则表达式,用于判断参数是否属于SQL注入/XSS攻击脚本。

/**
 * 防sql注入工具类
 * @author GitEgg
 */
@Slf4j
public class SqlInjectionRuleUtils {
    
    /**
     * SQL的正则表达式
     */
    private static String badStrReg = "b(and|or)b.{1,6}?(=|>|<|binb|blikeb)|/*.+?*/|<s*scriptb|bEXECb|UNION.+?SELECT|UPDATE.+?SET|INSERTs+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)s+(TABLE|DATABASE)";
    
    /**
     * SQL的正则表达式
     */
    private static Pattern sqlPattern = Pattern.compile(badStrReg, Pattern.CASE_INSENSITIVE);
    
    
    /**
     * sql注入校验 map
     *
     * @param map
     * @return
     */
    public static boolean mapRequestSqlKeyWordsCheck(MultiValueMap map) {
        //对post请求参数值进行sql注入检验
        return map.entrySet().stream().parallel().anyMatch(entry -> {
            //这里需要将参数转换为小写来处理
            String lowerValue = Optional.ofNullable(entry.getValue())
                    .map(Object::toString)
                    .map(String::toLowerCase)
                    .orElse("");
            if (sqlPattern.matcher(lowerValue).find()) {
                log.error("参数[{}]中包含不允许sql的关键词", lowerValue);
                return true;
            }
            return false;
        });
    }
    
    
    /**
     *  sql注入校验 json
     *
     * @param value
     * @return
     */
    public static boolean jsonRequestSqlKeyWordsCheck(String value) {
        if (JSONUtil.isJsonObj(value)) {
            JSONObject json = JSONUtil.parseObj(value);
            Map map = json;
            //对post请求参数值进行sql注入检验
            return map.entrySet().stream().parallel().anyMatch(entry -> {
                //这里需要将参数转换为小写来处理
                String lowerValue = Optional.ofNullable(entry.getValue())
                        .map(Object::toString)
                        .map(String::toLowerCase)
                        .orElse("");
                if (sqlPattern.matcher(lowerValue).find()) {
                    log.error("参数[{}]中包含不允许sql的关键词", lowerValue);
                    return true;
                }
                return false;
            });
        } else {
            JSONArray json = JSONUtil.parseArray(value);
            List list = json;
            //对post请求参数值进行sql注入检验
            return list.stream().parallel().anyMatch(obj -> {
                //这里需要将参数转换为小写来处理
                String lowerValue = Optional.ofNullable(obj)
                        .map(Object::toString)
                        .map(String::toLowerCase)
                        .orElse("");
                if (sqlPattern.matcher(lowerValue).find()) {
                    log.error("参数[{}]中包含不允许sql的关键词", lowerValue);
                    return true;
                }
                return false;
            });
        }
    }
}


  • 通过正则表达式对参数进行是否有XSS攻击风险的判断
/**
 * XSS注入过滤工具类
 * @author GitEgg
 */
public class XssInjectionRuleUtils {
    
    private static final Pattern[] PATTERNS = {
            
            // Avoid anything in a ", Pattern.CASE_INSENSITIVE),
            // Avoid anything in a src="/a2020/img/data-img.jpg" data-src='...' type of expression
            Pattern.compile("src[r
]*=[r
]*\'(.*?)\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("src[r
]*=[r
]*"(.*?)"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            // Remove any lonesome  tag
            Pattern.compile("", Pattern.CASE_INSENSITIVE),
            // Avoid anything in a ", Pattern.CASE_INSENSITIVE),
            // Remove any lonesome 

	

		

		
		

		

			

			
硅谷银行爆雷,硅谷创投挤兑,崩了崩了

			

			

			萧箫 白交 发自 凹非寺 量子位 | 公众号 QbitAI硅谷银行,爆雷了。一夜之间,这家最受科技和生命科学初创公司欢迎的金融机构,股价直接暴跌超60%,市值蒸发超过95亿美元。整个股票市场也是哀鸿遍野,放眼望去全是银行股暴跌的
			

		

	

	

		

		
		

		

			

			
浪潮新基建:以数字基建筑牢经济发展底座

			

			

			从2017年政府工作报告提出“促进数字经济加快成长”,到今年政府工作报告提出“大力发展数字经济,提升常态化监管水平,支持平台经济发展”,六年间,数字经济已六次被写入政府报告,而其重要性也随着提法的变化而日益提升。近年
			

		

	

	

		

		
		

		

			

			
人工智能如何影响国家安全和国际战略

			

			

			这篇文章不知道不能发出去,因为敏感词太多。但是还要写出来。即使看不到,也要留着自己研究。这个文章起源于最近我在这两天实验的打破AI系统,测试之中我想到,如果有一个没有道德底线唯利是图的至高统治者,一旦拥有没有任何
			

		

	

	

		

		
		

		

			

			
对话ChatGpt:你给的信息不正确,是你的接触了不正确的信息吗?

			

			

			 问:也就是说,你给的信息不正确,是因为你的接触了不正确的信息吗?答:是的,我的回答是基于我之前接触到的信息,但是我并不是绝对准确的,因为我只是一个计算机程序,无法像人类一样进行判断和推理。我的回答应该被视为参考信息,而
			

		

	

	

		

		
		

		

			

			
错怪雷军?苹果iPhone14连夜发布新配色引吐槽,小米13飓风黄赢了

			

			

			苹果手机又开始炒冷饭?苹果刚刚推出了iPhone 14的新配色——黄色,这引发了网友们的热议。这款黄色手机采用了黄色铝合金边框和黄色玻璃背面,与现有的午夜、星光、红色、蓝色和紫色等颜色形成了鲜明对比。苹果表示,这款新
			

		

	

	

		

		
		

		

			

			
集成ChatGPT后 微软必应日活量首次破亿

			

			

			【集成ChatGPT后 微软必应日活量首次破亿】《科创板日报》9日讯,微软消费领域首席营销官Yusuf Mehdi宣布,自集成了ChatGPT的AI版必应(Bing)推出一个月后,必应每日活跃用户首次突破1亿人,每天大概有三分之一用户,会与基于Chat
			

		

	

	

		

		
		

		

			

			
2月新能源轿车销量:秦回归榜首,汉增长乏力,宝马i3继续下滑

			

			

			又到了乘联会每月公布具体车型销量的时候。从总体数据来看,2月新能源车总体销量来到了43.9万辆,实现同比60.9%、环比32.4%的增长。与1月的惨淡相比,2月新能源车市开始出现了回暖的势头。  NO.1 比亚迪秦基本上,新能源轿车
			

		

	

	

		

		
		

		

			

			
特斯拉机器人专题研究:机器人,科技行业新一轮创新周期的起点

			

			

			(报告出品方:中信证券)特斯拉人形机器人引爆市场特斯拉机器人基本情况2021 年 8 月 19 日,特斯拉在人工智能日 AI Day 上首次公布了人形机器人项目计划 Tesla Bot,也称为 Optimus。马斯克表示,其目的是消除危险的、重复的、
			

		

	

	

		

		
		

		

			

			
代表委员说|全国政协委员霍金花:建议加快建设废旧动力电池回收利用体系

			

			

			央广网郑州3月6日消息(记者 彭华)我国新能源汽车的产销量、保有量已连续多年保持快速增长态势。随着“2060碳中和”目标的公布,越来越多的新能源汽车将走进千家万户。在新能源汽车销售量屡创新高的同时,作为与新能源汽车
			

		

	

	

		

		
		

		

			

			
谷歌I/O 2023定档 5 月,Android 14、折叠屏手机或亮相

			

			

			去年5月,谷歌I/O开发者大会正式召开。在这次活动中,Android 13正式亮相与大家见面,并带来了全新功能升级。现在,时间已经来到了2023年3月,谷歌 I / O 2023活动时间也正式曝光。新一代Android 14距离正式到来正在越来越近。
			

		

	

	

		

		
		

		

			

			
区块链技术中的DAO和Web3

			

			

			DAO和Web3是区块链技术中的两个核心概念,两者的联系紧密而重要。在这篇文章中,我将详细解释DAO和Web3的含义和联系,以及它们对现代经济和社会的重要性。一、DAO的含义DAO全称为“去中心化自治组织”(Decentralized Autono
			

		

	

	

		

		
		

		

			

			
快手辛巴发火,又被封了,背后的问题是什么?

			

			

			各位村民好,我是村长。 这次,辛巴又发火了,又被禁言了。  01辛巴怒骂快手 3月8日晚,作为快手超头部主播,辛巴再次在直播间对快手平台及一些主播的行为,进行了严厉的吐槽。 本来3月8日,是所有电商平台,开年的第一个重要的促销
			

		

	

	

		

		
		

		

			

			
2月份MPV销量排名:GL8名存实亡,丰田组合拳轻松破万

			

			

			近日,懂车帝发布了2月份MPV销量排行榜,各自的排名有明显变化,新能源车型的逆袭,以及丰田系的崛起,都值得我们深入解读一番。纯电动MPV表现不佳梦想家EV仅售出637辆,近半年来始终处于下滑趋势,而去年的峰值也不过一千多辆;极氪
			

		

	

	

		

		
		

		

			

			
iPhone15全系标配,屏下Face ID最早要等2027年才会推出

			

			

			苹果去年推出的iPhone14 Pro及iPhone14 Pro max这两款高端机型终于取消了前置刘海改用前置挖孔屏设计,苹果也为这两款机型增加了灵动岛功能。根据爆料信息显示苹果今年将要推出的iPhone15系列手机将会全系采用灵动岛设
			

		

	

	

		

		
		

		

			

			
全新的便捷出行方式,新能源车用手机当车钥匙使用

			

			

			毫无疑问,新能源汽车已经成为了汽车行业的一个新方向,数字车钥匙也是让新能源汽车智能化领域的一个重要方向。如今,人们对数字车钥匙有了更多的认识,在接近汽车的时候,只要拿出手机或者是手表,就可以在一刹那之间,通过屏幕开
			

		

	


上滑加载更多 ↓






	

	
推荐阅读:


	

		

			

			
龙湖再获ESG评级机构Sustainalytics风险分数下调 保持

			

		

	


	

		

			

			
《重装机兵》昙花一现的特色系统,DIY涂装真的专为红狼

			

		

	


	

		

			

			
中孚数据安全风险评估:防患于未然,护航数据安全规划建设

			

		

	


	

		

			

			
新产品-新一代国产高端芯片测试设备BC3192EX超大规模

			

		

	


	

		

			

			
零售业务下滑,亚马逊陷入“中年危机”

			

		

	


	

		

			

			
连续九年分红,在手订单近百亿,受益海上风电高速发展,海缆

			

		

	


	

		

			

			
仅用67天,全国快递业务量突破200亿件

			

		

	


	

		

			

			
基于Arduino和NodeMcu开发的物联网睡眠质量检测系统

			

		

	


	

		

			

			
美媒:科学家“复活殭尸病毒” 气候变化带来难以预知的

			

		

	


	

		

			

			
怎样评估系统支持的TPS是多少

			

		

	


	

	
	

	
友情链接:

	

		
	

	


	

	
更多:

	

		
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828  

		
© CopyRight 2008-2024 All Rights Reserved. Powered By bs178.com  闽ICP备11008920号-3
闽公网安备35020302034844号

	

	

	




Top