一些安全功能的过滤条件写法

目录

• 任意URL重定向防护
  
• XSS过滤
  
• SQL注入过滤
  
• 个人敏感信息脱敏处理
  
• 综合建议
  

以普通程序员的角度实现这些安全功能，然后从安全测试者的角度去分析可能的绕过方法。
任意URL重定向防护

1. import re
2. from urllib.parse import urlparse, urljoin
4. def safe_redirect(url, allowed_domains=None):
5.     """
6.     安全的URL重定向验证
7.     :param url: 要重定向的URL
8.     :param allowed_domains: 允许的重定向域名列表
9.     :return: 安全的URL或None
10.     """
11.     if not url:
12.         return None
13.    
14.     # 默认允许当前域名和子域名
15.     if allowed_domains is None:
16.         # 在实际应用中应该从配置获取或设置为空
17.         allowed_domains = ["example.com", "*.example.com"]
18.    
19.     # 解析URL
20.     parsed = urlparse(url)
21.    
22.     # 检查是否为相对路径
23.     if not parsed.netloc:
24.         # 相对路径是安全的
25.         return url
26.    
27.     # 检查协议
28.     if parsed.scheme not in ('http', 'https', ''):
29.         return None
30.    
31.     # 检查域名是否在白名单中
32.     domain_allowed = False
33.     for allowed in allowed_domains:
34.         if allowed.startswith('*.'):
35.             # 通配符子域名匹配
36.             base_domain = allowed[2:]
37.             if parsed.netloc.endswith('.' + base_domain) or parsed.netloc == base_domain:
38.                 domain_allowed = True
39.                 break
40.         else:
41.             # 精确匹配
42.             if parsed.netloc == allowed:
43.                 domain_allowed = True
44.                 break
45.    
46.     if not domain_allowed:
47.         return None
48.    
49.     return url
51. # 使用示例
52. redirect_url = safe_redirect("https://evil.com", ["example.com"])
53. print(redirect_url)  # 输出: None
55. safe_url = safe_redirect("/dashboard", ["example.com"])
56. print(safe_url)  # 输出: /dashboard

复制代码

安全测试者视角:

• 使用javascript:协议绕过: javascript:alert(1)
  
• 使用双斜杠绕过: //evil.com
  
• 使用数据URI: data:text/html,
  
• 利用子域名解析漏洞: example.com.evil.com
  
• 使用URL编码: %68%74%74%70%3a%2f%2f%65%76%69%6c%2e%63%6f%6d
  

XSS过滤

1. import html
3. def sanitize_input(input_str):
4.     """
5.     基本的XSS过滤
6.     :param input_str: 用户输入
7.     :return: 过滤后的安全字符串
8.     """
9.     if not input_str:
10.         return ""
11.    
12.     # HTML转义
13.     sanitized = html.escape(input_str)
14.    
15.     # 移除危险属性 (简单示例)
16.     dangerous_attributes = ['onload', 'onerror', 'onclick', 'onmouseover']
17.     for attr in dangerous_attributes:
18.         sanitized = re.sub(rf'{attr}\s*=', 'xss-removed=', sanitized, flags=re.IGNORECASE)
19.    
20.     return sanitized
22. # 使用示例
23. user_input = '<img src=x onerror=alert(1)>'
24. safe_output = sanitize_input(user_input)
25. print(safe_output)  # 输出: <script>alert("XSS")</script><img src=x xss-removed=alert(1)>

复制代码

安全测试者视角:

• 大小写绕过:
  
• 使用HTML实体编码: <script>alert(1)</script> (如果解码不当)
  
• 使用JavaScript伪协议: javascript:alert(1)
  
• 利用事件处理程序:
  
  (如果过滤不完整)
  
• 使用SVG标签:
  

SQL注入过滤

1. import re
3. def sanitize_sql(input_str):
4.     """
5.     基本的SQL注入过滤
6.     :param input_str: 用户输入
7.     :return: 过滤后的安全字符串
8.     """
9.     if not input_str:
10.         return ""
11.    
12.     # 移除常见的SQL关键字
13.     sql_keywords = ['union', 'select', 'insert', 'update', 'delete', 'drop',
14.                    'exec', 'execute', 'where', 'or', 'and', 'like', 'sleep',
15.                    'benchmark', '--', '/*', '*/', ';', "'", '"']
16.    
17.     sanitized = input_str
18.     for keyword in sql_keywords:
19.         # 使用正则表达式进行不区分大小写的匹配和替换
20.         pattern = re.compile(re.escape(keyword), re.IGNORECASE)
21.         sanitized = pattern.sub('', sanitized)
22.    
23.     return sanitized
25. # 更好的做法是使用参数化查询
26. def safe_query(cursor, query, params):
27.     """
28.     使用参数化查询防止SQL注入
29.     """
30.     cursor.execute(query, params)
31.     return cursor.fetchall()
33. # 使用示例
34. user_input = "admin' OR 1=1--"
35. safe_input = sanitize_sql(user_input)
36. print(safe_input)  # 输出: admin OR 1=1

复制代码

安全测试者视角:

• 双重编码绕过: admin%2527%20OR%201=1--
  
• 使用注释拆分: /*!UNION*/ SELECT/*!*/
  
• 使用异或操作: ' OR '1'='1' XOR '1'='0
  
• 使用URL编码: %75%6e%69%6f%6e%20%73%65%6c%65%63%74
  
• 使用非标准空格: UNION%0bSELECT
  

个人敏感信息脱敏处理

1. import re
3. def desensitize_info(text):
4.     """
5.     个人敏感信息脱敏处理
6.     :param text: 包含敏感信息的文本
7.     :return: 脱敏后的文本
8.     """
9.     if not text:
10.         return text
11.    
12.     # 身份证号脱敏 (保留前4后4位)
13.     text = re.sub(r'(\d{4})\d{10}(\d{4})', r'\1******\2', text)
14.    
15.     # 手机号脱敏 (保留前3后4位)
16.     text = re.sub(r'(\d{3})\d{4}(\d{4})', r'\1****\2', text)
17.    
18.     # 银行卡号脱敏 (保留前6后4位)
19.     text = re.sub(r'(\d{6})\d{8,10}(\d{4})', r'\1********\2', text)
20.    
21.     # 邮箱脱敏
22.     text = re.sub(r'(\w{2})[\w.-]*@(\w{2}[\w.-]*)', r'\1****@\2', text)
23.    
24.     # 姓名脱敏 (保留姓氏)
25.     text = re.sub(r'([\u4e00-\u9fa5]{1})[\u4e00-\u9fa5]+', r'\1**', text)
26.    
27.     return text
29. 使用示例
30. sensitive_text = "张三的手机号是13812345678，身份证是510123199001011234，邮箱是zhangsan@example.com"
31. desensitized_text = desensitize_info(sensitive_text)
32. print(desensitized_text)
33. # 输出: 张**的手机号是138****5678，身份证是5101****1234，邮箱是zh****@example.com

复制代码

安全测试者视角:

• 使用特殊格式绕过: 身份证号中使用空格或连字符 510123-19900101-1234
  
• 使用全角字符: １３８１２３４５６７８ (全角数字)
  
• 使用HTML实体编码: 13812345678
  
• 使用零宽字符: 138​1234​5678
  
• 拆分敏感信息: "手机号是138" + "1234" + "5678"
  

综合建议

从安全测试者的角度来看，没有任何单一防护措施是完美的。最佳实践包括：

• 多层防御: 在应用的各个层面实施安全措施
  
• 白名单策略: 优先使用白名单而非黑名单
  
• 参数化查询: 对于SQL注入，始终使用参数化查询
  
• 内容安全策略(CSP): 对于XSS，实施CSP头部
  
• 定期安全测试: 定期进行渗透测试和代码审计
  
• 使用安全库: 使用经过验证的安全库而不是自己实现
  

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！