当前位置：首页 > news >正文

一些安全功能的过滤条件写法

news 2025/10/22 21:35:27

任意URL重定向防护
XSS过滤
SQL注入过滤
个人敏感信息脱敏处理
综合建议

以普通程序员的角度实现这些安全功能，然后从安全测试者的角度去分析可能的绕过方法。

任意URL重定向防护

import re
from urllib.parse import urlparse, urljoindef safe_redirect(url, allowed_domains=None):"""安全的URL重定向验证:param url: 要重定向的URL:param allowed_domains: 允许的重定向域名列表:return: 安全的URL或None"""if not url:return None# 默认允许当前域名和子域名if allowed_domains is None:# 在实际应用中应该从配置获取或设置为空allowed_domains = ["example.com", "*.example.com"]# 解析URLparsed = urlparse(url)# 检查是否为相对路径if not parsed.netloc:# 相对路径是安全的return url# 检查协议if parsed.scheme not in ('http', 'https', ''):return None# 检查域名是否在白名单中domain_allowed = Falsefor allowed in allowed_domains:if allowed.startswith('*.'):# 通配符子域名匹配base_domain = allowed[2:]if parsed.netloc.endswith('.' + base_domain) or parsed.netloc == base_domain:domain_allowed = Truebreakelse:# 精确匹配if parsed.netloc == allowed:domain_allowed = Truebreakif not domain_allowed:return Nonereturn url# 使用示例
redirect_url = safe_redirect("https://evil.com", ["example.com"])
print(redirect_url)  # 输出: Nonesafe_url = safe_redirect("/dashboard", ["example.com"])
print(safe_url)  # 输出: /dashboard

安全测试者视角:

使用javascript:协议绕过: javascript:alert(1)
使用双斜杠绕过: //evil.com
使用数据URI: data:text/html,<script>alert(1)</script>
利用子域名解析漏洞: example.com.evil.com
使用URL编码: %68%74%74%70%3a%2f%2f%65%76%69%6c%2e%63%6f%6d

XSS过滤

import htmldef sanitize_input(input_str):"""基本的XSS过滤:param input_str: 用户输入:return: 过滤后的安全字符串"""if not input_str:return ""# HTML转义sanitized = html.escape(input_str)# 移除危险属性 (简单示例)dangerous_attributes = ['onload', 'onerror', 'onclick', 'onmouseover']for attr in dangerous_attributes:sanitized = re.sub(rf'{attr}\s*=', 'xss-removed=', sanitized, flags=re.IGNORECASE)return sanitized# 使用示例
user_input = '<script>alert("XSS")</script><img src=x onerror=alert(1)>'
safe_output = sanitize_input(user_input)
print(safe_output)  # 输出: &lt;script&gt;alert("XSS")&lt;/script&gt;&lt;img src=x xss-removed=alert(1)&gt;

安全测试者视角:

大小写绕过: <ScRipt>alert(1)</ScRipt>
使用HTML实体编码: <script>alert(1)</script> (如果解码不当)
使用JavaScript伪协议: javascript:alert(1)
利用事件处理程序: <img src=x onerror=alert(1)> (如果过滤不完整)
使用SVG标签: <svg onload=alert(1)>

SQL注入过滤

import redef sanitize_sql(input_str):"""基本的SQL注入过滤:param input_str: 用户输入:return: 过滤后的安全字符串"""if not input_str:return ""# 移除常见的SQL关键字sql_keywords = ['union', 'select', 'insert', 'update', 'delete', 'drop', 'exec', 'execute', 'where', 'or', 'and', 'like', 'sleep', 'benchmark', '--', '/*', '*/', ';', "'", '"']sanitized = input_strfor keyword in sql_keywords:# 使用正则表达式进行不区分大小写的匹配和替换pattern = re.compile(re.escape(keyword), re.IGNORECASE)sanitized = pattern.sub('', sanitized)return sanitized# 更好的做法是使用参数化查询
def safe_query(cursor, query, params):"""使用参数化查询防止SQL注入"""cursor.execute(query, params)return cursor.fetchall()# 使用示例
user_input = "admin' OR 1=1--"
safe_input = sanitize_sql(user_input)
print(safe_input)  # 输出: admin OR 1=1

安全测试者视角:

双重编码绕过: admin%2527%20OR%201=1--
使用注释拆分: /*!UNION*/ SELECT/*!*/
使用异或操作: ' OR '1'='1' XOR '1'='0
使用URL编码: %75%6e%69%6f%6e%20%73%65%6c%65%63%74
使用非标准空格: UNION%0bSELECT

个人敏感信息脱敏处理

import redef desensitize_info(text):"""个人敏感信息脱敏处理:param text: 包含敏感信息的文本:return: 脱敏后的文本"""if not text:return text# 身份证号脱敏 (保留前4后4位)text = re.sub(r'(\d{4})\d{10}(\d{4})', r'\1******\2', text)# 手机号脱敏 (保留前3后4位)text = re.sub(r'(\d{3})\d{4}(\d{4})', r'\1****\2', text)# 银行卡号脱敏 (保留前6后4位)text = re.sub(r'(\d{6})\d{8,10}(\d{4})', r'\1********\2', text)# 邮箱脱敏text = re.sub(r'(\w{2})[\w.-]*@(\w{2}[\w.-]*)', r'\1****@\2', text)# 姓名脱敏 (保留姓氏)text = re.sub(r'([\u4e00-\u9fa5]{1})[\u4e00-\u9fa5]+', r'\1**', text)return text使用示例
sensitive_text = "张三的手机号是13812345678，身份证是510123199001011234，邮箱是zhangsan@example.com"
desensitized_text = desensitize_info(sensitive_text)
print(desensitized_text)
# 输出: 张**的手机号是138****5678，身份证是5101****1234，邮箱是zh****@example.com

安全测试者视角: