java

关注公众号 jb51net

关闭
首页 > 软件编程 > java > Java代码审计

Java代码审计的一些基础知识你知道吗

作者:Buffedon

这篇文章主要介绍了基于Java的代码审计功能的基础知识,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

JSP生命周期

关键词Web服务器JSP容器JVM(Java虚拟机)servlet

详细过程:

在这里插入图片描述

War包结构

在web.xml中 会有此项目的框架信息,三方软件信息,比如Spring,Filter过滤器等等

在这里插入图片描述

JAVA 内置对象

Java 内置对象不用new,就可以直接获取对象进行使用。比如 out.print()

request,response,pageContext,session,application,out,config,page,exception

pageContex 方便在 JSP 中直接写 Java代码

application 两个页面交互时共享对象

JAVA 中的危险函数

getParameter()		#获取参数
getcookies()		#直接获取会话
getQueryString()	#获取SQL语句
getHeaders()		#获取HTTP请求头
Runtime.exec()		#执行系统命令
logger.info()		#日志输出,可造成信息泄露的风险

危险关键字:password,upload,download

名词概念

servlet:Java Servlet是运行在Web服务器或应用服务器上的程序,Servlet是一种运行在web服务器上的组件,负责连接客户端请求和服务器数据库(或应用层)

Tomcat 是Web应用服务器,是一个Servlet/JSP容器。

Servlet 和 JSP的区别

Servlet是在服务器端执行的Java程序,由Servlet容器(其实就是服务器) 负责执行Java程序。而JSP(Java Server Page)则是一个页面, 由JSP容器负责执行。

Tomcat 是容器,是中间件,是web应用服务器。

Servlet 是组件

JSP 是动态网页技术

WAR包:一个 Java项目都是以War包的形式发布到中间件。能拿到WAR包在反编译就能进行代码审计

总结

本篇文章就到这里了,希望能够给你带来帮助,也希望您能够多多关注脚本之家的更多内容!

您可能感兴趣的文章:
阅读全文