【网络安全 | 代码审计】JFinal之DenyAccessJsp绕过

原创 已于 2024-09-14 23:54:12 修改 · 2k 阅读 · 2 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#web安全 #java #代码审计 #漏洞挖掘

于 2024-09-14 21:33:16 首次发布

未经许可,不得转载。

文章目录

前言

JFinal 是一个基于 Java 的轻量级 MVC 框架,用于快速构建 Web 应用程序。它的设计理念是追求极简、灵活、高效,旨在提高开发效率,减少冗余代码的编写,适合中小型项目以及对性能有较高要求的项目。

在较新的 JFinal 版本中,默认情况下无法直接通过浏览器地址栏输入 .jsp 文件名来访问对应的 JSP 文件。

也就是说,主页面的访问地址可能是 www.example.com/main,而不是 www.example.com/main.jsp

代码审计

现在让我们看看代码是如何阻止我们直接对.jsp文件访问的。

以5.0.2版本为例,启动JFinal后,系统调用对应的过滤器com.jfinal.core.JFinalFilter,先是使用init()进行初始化:

在这里插入图片描述

可以看到,先使用createJFinalConfig()处理web.xml中的配置信息;再调用jfinal.init(jfinalConfig, filterConfig.getServletCo

了解本专栏 订阅专栏 解锁全文 超级会员免费看
JFinalcms代码审计
蚁景网安学院
10-14 793
JFinalCms是开源免费的JAVA企业网站开发建设管理系统,极速开发,动态添加字段,自定义标签,动态创建数据库表并crud数据,数据库备份、还原,动态添加站点(多站点功能),一键生成模板代码。
JFinalcms 5.0.0代码审计(1)
weixin_44513407的博客
06-28 1224
JFinalcms代码审计
JAVA代码审计JFinal_cms
RestoreJustice的博客
10-18 1635
JFinal_cms 的一次代码审计
Jfinal框架学习系列之二(JSP)
hu1991die的专栏
04-21 5564
API里面说到jfinal框架支持JSP视图类型等多种视图类型,然后自己用的也是jsp,对jsp稍微熟悉一点,然后就想看看在jfinal中怎么使用jsp。这里实现一个小小的demo例子,还是基本的增删改查功能。分别使用Mysql和Oracle两种数据库。。。。。数据库脚本:1、MysqlCREATE DATABASE jfinal_demo;USE jfinal_demo;CREATE TABLE
看我如何突破JFinal黑名单机制实现任意文件上传
weixin_43006749的博客
09-04 425
JFinal是国产优秀的web框架,短小精悍强大,易于使用。近期团队内一名小伙伴(LuoKe)在安全测试的时候报了一个很玄学的任意文件上传,笔者本着知其然必知其所以然的态度去跟进了一下问题代码,发现问题系统在处理上传文件功能的时候使用了JFinal框架,于是去对该框架上传文件处的代码做了一下审计,发现了JFinal上传文件的黑名单机制的存在被绕过的风险。目前该漏洞已上报至厂商并修复,本文章意在和各...
jfinal js 拦截_【分享】一个JFinal自身实现权限系统的建设思路(JFinal拦截器版)...
weixin_34340606的博客
01-14 254
分享一个jfinal权限系统常用思路:1、数据库里创建用户表 角色定义表 用户角色中间表 用来创建用户和给用户分配角色2、数据库里创建权限资源定义表 定义出系统内可访问资源有哪些 比如菜单 导航 模块 按钮 非可视化权限等3、为角色分配这些权限资源 这样只要有这个角色的用户 就有了这个角色绑定的权限4、用户登录需要拿到用户的userId和对应的roles 存到session里 这样只要用户登录 就...
Java JFinal_cms的一次审计过程
include_voidmain的博客
01-10 1045
可以通过安全管理器配置到底哪些类Beetl不允许调用,具体请参考高级用法。
Web安全之SQL注入-CSRF-XSS
AI大模型/Python/Java/MySQL技术栈,快来和我一起学习吧 ~
12-29 662
攻击者通过在用户输入中嵌入恶意 SQL 片段,绕过应用逻辑,直接操作数据库。 示例(危险代码): → 可导致:数据泄露、删除表、提权、远程命令执行(如 PostgreSQL 的 COPY TO)攻击者诱导已登录用户访问恶意网站,该网站自动向目标站点(如银行)发起带 Cookie 的请求(如转账),利用用户身份执行非意愿操作。 前提:用户已登录目标站 + 请求无二次验证。攻击者将恶意脚本(JavaScript)注入网页,当其他用户浏览时执行,窃取 Cookie、会话、钓鱼等。 分类:示例:
计算机网络 (郑烇) 8 网络安全
qq_44845100的博客
12-28 114
【小迪安全web安全|渗透测试|网络安全|SRC挖掘|学习笔记|2021|
weixin_45635831的博客
12-25 622
批量挖掘流程:FOFA收集目标(50万+域名)xray批量扫描(万分之一命中率)人工验证漏洞真实性提交漏洞平台源码审计优势:能深度分析算法逻辑和安全机制黑盒测试要点:常规漏洞扫描JS接口探测三方组件分析经济因素考量:部分售卖系统可能需要购买授权才能获取测试权限开发语言特征:JAVA开发系统常将核心部分封装到dll或jar文件中反编译工具:使用dnSpy等工具对编译文件进行反编译分析。
第2天:基础入门-Web应用&架构搭建&漏洞&HTTP数据包&代理服务器|小迪安全笔记|网络安全|
weixin_45635831的博客
12-28 745
26:07。
AI正在重塑网络安全:自动化渗透测试如何让企业“先攻后防”?
2501_93360277的博客
12-25 1126
而AI智能自动化渗透测试系统,融合前沿人工智能技术与多年实战攻防经验,将复杂的黑客攻击路径高度标准化、流程化,实现从资产发现、漏洞探测、利用验证,到报告生成、溯源分析的。系统内置针对WebLogic、OA系统、物联网、工控设备等高危场景的专项插件,支持“目标盲打”和自定义参数配置,跳过冗余步骤,直击漏洞核心。选择一套专业的AI渗透测试系统,就是为您的数字业务装上“智能雷达”与“自动盾牌”,在攻防对抗中牢牢掌握主动权,筑牢高质量发展的安全基石。全面、准确的资产画像,是构建有效防御体系的第一步。
7. 网络安全-等保
最新发布
princemilo的博客
12-29 558
国家要求信息系统(网站、APP、云平台等)进行分等级的保护。
第1天:基础入门-操作系统&名词&文件下载&反弹SHELL&防火墙绕过|小迪安全笔记|网络安全|
weixin_45635831的博客
12-28 567
核心知识点:文件下载类操作反弹shell技术系统权限管理系统分类:个人主机与服务器主机的区别Windows与Linux系统的命令差异网络安全要素:防火墙配置内外网隔离正向/反向连接方式权限管理:文件权限设置用户权限控制运维权限分配学习建议:掌握基础命令是前提思路比具体技术更重要避免直接攻击在线靶机。
CISAW-SS安全软件认证|2026年培训日程公布,赋能安全开发,从代码源头筑牢防线
qq_44969472的博客
12-25 576
本课程旨在为软件生命周期的各类角色注入安全基因,培养能将安全能力深度集成到需求、设计、编码、测试全流程的专业人才。:针对主流开发语言(如Java, C/C++, Python等),讲解如何编写安全、健壮的代码,避免注入、溢出等经典漏洞。:掌握SAST、DAST、IAST等白盒、黑盒、灰盒安全测试技术,以及渗透测试、模糊测试等方法。政府、金融、能源、互联网等行业的软件项目经理、架构师、开发工程师、测试工程师。:从根本上转变“重功能、轻安全”的开发观念,全面提升团队的安全素养与实战技能。
BAS模拟入侵攻击系统:前置防控核心,守护企业网络安全
2501_93360277的博客
12-23 967
数字化时代,网络威胁持续升级,黑客攻击手段愈发隐蔽、精准,企业数据泄露、系统瘫痪、业务中断等安全事件频发,给企业带来巨额经济损失与品牌声誉损害。在此背景下,被动防御已难以抵御多变的网络威胁,主动探测、预判风险成为企业网络安全建设的核心诉求。而BAS(模拟入侵攻击系统)作为网络安全领域的核心技术工具,正以专业的攻防模拟能力,助力企业提前发现安全漏洞,筑牢主动防御防线。作为网络安全领域的核心模拟攻防系统,
Nmap+Fofa 一体化信息搜集工具打造
Bruce_xiaowei的博客
12-26 651
本文介绍了一款Nmap+Fofa一体化信息搜集工具的开发与使用。该工具整合了Nmap的C段扫描能力与Fofa API的资产查询功能,支持自动提取存活主机、域名解析IP、结果规范输出等核心功能。工具包含Nmap扫描模块(17种扫描类型、自动存活提取)、Fofa查询模块(支持多种查询方式、字段自动对齐)以及通用增强功能(异常处理、结果去重等)。安装配置简单,只需准备Python环境、Nmap和Fofa API即可使用。该工具能显著提升渗透测试和网络运维中的信息搜集效率,解决手动操作低效问题。
网络安全开源靶场Vulfocus靶场搭建指南[2026最新版本]
黄乔国PHP
12-28 327
因为 Vulfocus 一个漏洞集成平台,所以可以无限向里添加漏洞环境没有限制,前提是你的内存足够大。因为漏洞环境是docker镜像的原因每次重新启动漏洞环境都会还原,不用出现你会对环境造成破坏下次无法启动的现象。本文主要演示对应搭建的过程,希望对大家有帮助!
JFinal框架演示:简易数据库操作示例代码
在这一部分中,我们将深入分析JFinal框架的核心特点和使用方法,以及如何通过一个带数据库的可运行demo代码来体验JFinal的开发流程。 JFinal框架的核心特点: 1. 开发迅速:JFinal的设计理念就是为了提高开发效率...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值