亲宝软件园·资讯

展开

Java代码审计

Buffedon 人气:0

JSP生命周期

关键词Web服务器JSP容器JVM(Java虚拟机)servlet

详细过程:

在这里插入图片描述

War包结构

在web.xml中 会有此项目的框架信息,三方软件信息,比如Spring,Filter过滤器等等

在这里插入图片描述

JAVA 内置对象

Java 内置对象不用new,就可以直接获取对象进行使用。比如 out.print()

request,response,pageContext,session,application,out,config,page,exception

pageContex 方便在 JSP 中直接写 Java代码

application 两个页面交互时共享对象

JAVA 中的危险函数

getParameter()		#获取参数
getcookies()		#直接获取会话
getQueryString()	#获取SQL语句
getHeaders()		#获取HTTP请求头
Runtime.exec()		#执行系统命令
logger.info()		#日志输出,可造成信息泄露的风险

危险关键字:password,upload,download

名词概念

servlet:Java Servlet是运行在Web服务器或应用服务器上的程序,Servlet是一种运行在web服务器上的组件,负责连接客户端请求和服务器数据库(或应用层)

Tomcat 是Web应用服务器,是一个Servlet/JSP容器。

Servlet 和 JSP的区别

Servlet是在服务器端执行的Java程序,由Servlet容器(其实就是服务器) 负责执行Java程序。而JSP(Java Server Page)则是一个页面, 由JSP容器负责执行。

Tomcat 是容器,是中间件,是web应用服务器。

Servlet 是组件

JSP 是动态网页技术

WAR包:一个 Java项目都是以War包的形式发布到中间件。能拿到WAR包在反编译就能进行代码审计

总结

本篇文章就到这里了,希望能够给你带来帮助,也希望您能够多多关注的更多内容!

加载全部内容

相关教程
猜你喜欢
用户评论