XssAPP 是一个专业的 XSS 渗透测试平台。
用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。有关攻击方法的详细情况将在下面阐述。
1) 源代码结构截图
2) Spring mvc配置
3) 数据源配置
4) 事物管理
5) Quartz定时器配置
6) AOP缓存实现
7) 后台权限拦截
com.xss.web.util包
CommonUtils 公共util操作方法封装工具
Constants 系统枚举或常量存放点
DateUtils 日期操作工具
EmailSenderUtil 邮件发送工具
EncryptionUtil 密码加密工具
FileUtils 文件读写工具
HibernateConfigurationUtil hibernate常用操作工具
HqlUtil hql语句转换工具
HTMLSpirit html操作工具
HttpUtil http请求工具
IPager 分页工具,接口
JsonUtil json测试工具
JSONWriter json转化工具
JUUIDUtil uuid生成工具
MsgEntity 系统消息容器
PropresUtil 对象操作工具
ReqJsonUtil 基于Gson的json操作工具
RequestUtil 请求转化工具
SpringContextHelper spring对象池获取工具
StringUtils 字符串操作工具
UploadUtil 文件上传工具
VerificationCodeUtil 验证码生成工具
CacheHandle 添加缓存注解
DelCacheHandle 删除缓存注解
UpdateCacheHandle 更新缓存注解,暂未使用
CacheAspect 基于AOP的缓存实现类
com.xss.web.base.cache 基础缓存实现
com.xss.web.base.dao hibernate持久层
com.xss.web.base.page 分页对象实现
com.xss.web.base.thread系统公用线程池
com.xss.web.base.wrapper xss跨站脚本防御容器
com.xss.web.cache.base 基础缓存
AdminCache 后台用户类
EmailCache 发信邮箱操作类
InviteCache 邀请码操作类
LetterCache 信封管理类
MenuCache 后台菜单类
ModuleCache 模板类
ProjectCache 项目类
RoleCache 后台角色类
SettingCache 网站设置类
SuffixCache 网站后缀操作类
UserCache 用户类
com.xss.web.controllers.base公用controller父类
AdminController 后台管理操作类
Controller 前台首页与周边功能类
Scontroller 收信类
UserController 前台会员操作类
HqlEntity hql对象
HttpEntity http对象
MsgEntity 系统消息机制容器
PropresEntity 反射常用对象
Record map封装容器
SimpleConcurrentMap map封装缓存容器
ThisWhere hql where条件对象
Where hql where条件对象
AdminFilter 后台管理过滤器,包含权限拦截,菜单加载等
BaseFilter 基础信息过滤器,包含项目基础地址加载
SuffixFilter 后缀过滤器,实现系统可控设置后缀或伪静态
UserFilter 用户过滤器,用户身份拦截
XssFilter 预防xss跨站脚本攻击对本系统造成的隐患
略
EmailInitTask 发信邮箱状态激活定时器
