代码审计-JAVA项目注入上传搜索或插件挖掘
httpservletrequest常用方法
httpservletresponse常用方法
java_web项目运行流程
web.xml的解读
: 定义了WEB应用的名字 : 声明WEB应用的描述信息 : context-param元素声明应用范围内的初始化参数。 : 过滤器元素将一个名字与一个实现javax.servlet.Filter接口的类相关联。 : 一旦命名了一个过滤器,就要利用filter-mApping元素把它与一个或多个servlet或JSP页面相关联。 : servlet API的版本2.3增加了对事件监听程序的支持,事件监听程序在建立、修改和删除会话或servlet环境时得到通知.Listener元素指出事件监听程序类。 : 在向servlet或JSP页面制定初始化参数或定制URL时,必须首先命名servlet或JSP页面。Servlet元素就是用来完成此项任务的。 : 服务器一般为servlet提供一个缺省的URL: http://host/webAppPrefix/servlet/ServletName。 但是,常常会更改这个URL,以便servlet可以访问初始化参数或更容易地处理相对URL。在更改缺省URL时,使用servlet-mApping元素。: 如果某个会话在一定时间内未被访问,服务器可以抛弃它以节省内存,可通过使用HttpSession的setMaxInactiveInterval方法明确设置单个会话对象的超时值,或者可利用session-config元素制定缺省超时值。 : 如果Web应用具有想到特殊的文件,希望能保证给他们分配特定的MIME类型,则mime-mApping元素提供这种保证。 : 指示服务器在收到引用一个目录名而不是文件名的URL时,使用哪个文件。 : 在返回特定HTTP状态代码时,或者特定类型的异常被抛出时,能够制定将要显示的页面。 : 对标记库描述符文件(Tag Libraryu Descriptor file)指定别名。此功能使你能够更改TLD文件的位置,而不用编辑使用这些文件的JSP页面。 : 声明与资源相关的一个管理对象。 : 声明一个资源工厂使用的外部资源。 : 制定应该保护的URL。它与login-config元素联合使用 : 指定服务器应该怎样给试图访问受保护页面的用户授权。它与sercurity-constraint元素联合使用。 : 给出安全角色的一个列表,这些角色将出现在servlet元素内的security-role-ref元素的role-name子元素中。分别地声明角色可使高级IDE处理安全信息更为容易。 : 声明Web应用的环境项。 : 声明一个EJB的主目录的引用。 - < ejb-local-ref> : 声明一个EJB的本地主目录的应用。
项目文件的命名规则
在不同的框架下一般包的命名规则不同,但大概如上,不同功能的Java文件放在不同的包中,根据Java文件的功能统一安放及命名
- 公司项目 : copyright由项目发起的公司所有,包名为com.公司名.项目名.模块名...
- 持久层 : dao、persist、mApper
- 实体类 : entity、model、bean、javebean、pojo
- 业务逻辑 : service、biz
- 控制器 : controller、servlet、action、web
- 过滤器 : filter
- 异常 : exception
- 监听器 : listener
审计的思路
确定框架:通过以下3种方式确定框架
- 看
web.xml - 看导入的jar包或
pom.xml - 看配置文件
- Struts2 配置文件:struts.xml
- Spring 配置文件:ApplicationContext.xml
- Spring MVC 配置文件:spring-mvc.xml
- Hibernate 配置文件:Hibernate.cfg.xml
- Mybatis 配置文件:mybatis-config.xml
简易SQL注入及预编译
接受get传参user,然后拼接参数查询MySQL数据库的用户表,然后再对拼接的SQL进行执行并且返回结果
- 漏洞产生原因:写法不规范,SQL语句应该按照预编译要求去拼接
在sql注入时经常利用order by子句进行快速猜解表中的列数,通过修改order by参数值依据回显情况来判断具体表中包含的列数
报出了1和2
显示版本和数据库
预编译原理
Alipay
Wechat
最后一次更新于2022-04-15 10:23
0 条评论