网站建设| 数据库类| 图形图象| 程序设计| 现代办公| 操作系统| 考试认证| 网络技术| 软件工程| 电脑相关| 文学作品
网站开发| 网页制作| 操作系统| 图象图形| 考试认证| 数据库类| 程序设计| 硬件技术| 现代办公| 网络技术| 笑话频道
 
您的位置: 电脑书库首页-> 电脑文摘-> 网站开发-> JSP技术-> Jsp安全性初探

Jsp安全性初探
作者:佚名 来源:InterNet 加入时间:2005-3-24
相关文章
  • jsp连接数据库大全
  • Jsp如何实现网页的重定向
  • 编写线程安全的JSP程序
  • 用缓冲技术提高JSP应用的性能和稳定性
  • Jsp结合XML+XSLT将输出转换为Html格式
  • JSP数据库连接池的必要性
  • 在JSP页面中实现检索数据的分页显示
  • 在jsp中作HTTP认证的方法
  • JSP通过JDBC与Oracle相连
  • html与jsp开发分离技术
  • 相关书籍:
  • JSP数据库开发实例精粹
  • JSP软件工程案例精解
  • JSP语法
  • JSP数据库编程指南
  • JSP由浅入深
  • 其实我相信还有几种办法可以暴露JSP代码的,不过具我的大量测试,这和WEB SERVER的配置有绝对的关系,就那我自己装的IBM Websphere Commerce Suite而言,还有别的方法看到JSP源代码,但我相信是因为IBM HTTP SERVER的配置造成的.

      如果你也想和我一样去发现JSP暴露源代码的BUG的话,首先你需要了解JSP的工作原理,值得庆幸的是我已经帮你做了这一切!

      jsp和其它的php,asp工作机制不一样,虽然它也是一种web编程语言。首次调用JSP文件其实是执行一个编译为Servlet的过程。注意----->我们就要在这上边做文章,明白吗?我们要干的事情是,让JSP在编译前被浏览器当作一个文本或其它文件发送给客户端,或在JSP装载的时候不去执行编译好的Servlet而直接读JSP的内容并发送给客户端。

      明白了道理及所要达到的目的就好下手了,我仔细的观察了调用及返回过程发现:JSP被编译为了Servlet保存在指定的目录下如:http://www.x.com/lovehacker/index.jsp很可能存放在X:\IBM\WAServer\temp\default_host\default_app\pagecompile\_lov
    ~~~~
    ehacker_index_xjsp.class
    ~~~~~~~~~~~~~~~~~~~~~~~~
       已经过编译的index.jsp(顺便说一下,IBM WCS我至少发现了三种以上获得文件存放真实路径的办法,但可笑的是我和IBM的工程师聊到这事的时候他们不以为然)

      回到正题,也就是说_lovehacker_index_xjsp.class显然是我们不需要的文件,而且我们得到它的可能性也不大,我们要干的是不去执行_lovehacker_index_xjsp.class而是直接读index.jsp的内容.我在我的SERVER上已经完成了这个工作,源代码尽收眼底,你呢?是否也已经想好了办法?那还等什么赶快去实践吧!

      据我分析最初的xxx.JSP暴露源代码也是因为我前边的这种想法造成的,本来目录中存放了一个_xxx_xjsp.class但访问xxx.JSP本来是个合法的请求,而又找不到对应的Servlet所以就把xxx.JSP当做一个文本或其它文件发送给了用户。

      也许这是因为IBM HTTP SERVER配置不当造成的,但相信如果你能成功的话,会有一种成就感,很爽的哦!

    顺便说一下暴露文件存放真实路径可能会带来的危害:
    首先会让入侵者了解磁盘配置情况
    聪明的入侵者甚至可以分析出管理员的水平高低
    为入侵者修改你的首页提供了方便(起码不用在找你的WEB目录在那个磁盘了)
    可能被利用一些其它的CGI的漏洞查看到web目录下的文件如XX.ASP,XX.JSP,XX.PHP等.


    [文章录入员:nancy]

    相关文章
  • jsp连接数据库大全
  • Jsp如何实现网页的重定向
  • 编写线程安全的JSP程序
  • 用缓冲技术提高JSP应用的性能和稳定性
  • Jsp结合XML+XSLT将输出转换为Html格式
  • JSP数据库连接池的必要性
  • 在JSP页面中实现检索数据的分页显示
  • 在jsp中作HTTP认证的方法
  • JSP通过JDBC与Oracle相连
  • html与jsp开发分离技术
  • 相关书籍:
  • JSP数据库开发实例精粹
  • JSP软件工程案例精解
  • JSP语法
  • JSP数据库编程指南
  • JSP由浅入深
  • 本站推荐内容

    近期主机类热搜关键词:
    美国服务器 美国服务器租用 海外服务器租用 国外服务器租用

    JSP技术
    ASP/ASP.NET
    PHP技术
    JSP技术
    XML技术
    CGI/PERL
    WEB服务器
    WordPress专题
    其它
    电脑教程阅读排行
    ·几个常见的关于日期的问题
    ·WebLogic的初步研究(1)...
    ·WebLogic的初步研究(2)...
    ·新手入门经典:Jsp环境配置
    ·JSP动态输出Excel及中文乱...
    ·jsp基础学习资料
    ·MySQL实现分页JSP+JAV...
    ·jsp连接数据库大全
    ·Tomcat4.01全攻略
    ·JSP的安装、启动及简单示例