使用Struts/Servlet开发项目的安全注意点!

最新推荐文章于 2022-04-22 22:00:55 发布
最新推荐文章于 2022-04-22 22:00:55 发布 · 161 阅读 · 0
文章标签:

#Servlet #Struts #框架 #PHP #Web

OWASP Stinger是一款用于集中输入验证的servlet过滤器,存在一个漏洞允许远程攻击者绕过多部分编码数据的过滤。此漏洞源于Stinger假设所有请求均为form-urlencode编码,对于使用多部分编码的请求未能正确处理,可能导致跨站脚本或SQL注入等攻击。
涉及程序:
Stinger

描述:
OWASP Stinger绕过servlet输入验证过滤漏洞

详细:
Stinger是开放Web应用安全项目(OWASP)所开发的servlet过滤器,用于提供对用户请求提供集中的输入验证。

OWASP Stinger多部分编码的数据时存在漏洞,远程攻击者可能利用此漏洞绕过数据过滤。 网管联盟bitsCN_com

OWASP Stinger假设所传送的请求内容都是form-urlencode编码的,如果应用程序使用的框架从HTTP协议获取内容并自动处理和解析请求的话,这种假设就会导致在向目标应用传输请求期间绕过Stinger过滤。


以下Stinger代码段说明了这个问题(Stinger.java):private int checkMalformedParameters(...) {


...
e = request.getParameterNames();
while(e.hasMoreElements()) {
...
}
...
}


如果HTTP请求内容是form-urlencode编码的话,request.getParameterNames()就会返回所有HTTP参数名的枚举。但是,如果请求为多部编码的话,所返回的枚举就会为空,e.hasMoreElements()会返回false,这会导致Stinger没有对多部编码的HTTP请求执行任何输入验证。

[b]如果目标应用程序为纯servlet应用程序的话,Request.getParameter()调用不会返回多部编码的HTTP参数[/b],但Struts之类的框架从应用程序获取HTTP详细信息并自动解析HTTP请求,包括多部编码的请求,然后将多部请求中所提供的输入参数传送给应用程序,而不会考虑参数是通过多部请求提供的还是正常form-urlencode编码请求提供的。由于Stinger没有对多部请求执行任何验证,因此可能会向应用程序提供未转义的和未经验证的数据,导致跨站脚本或SQL注入之类的攻击。


<*来源:Meder Kydyraliev (bugtraq@web.areopag.net)
链接:http://marc.info/?l=bugtraq&m=118702576902962&w=2
*>


受影响系统:
OWASP Stinger
不受影响系统:
OWASP Stinger 2.5


攻击方法:
警 告


以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

http://o0o.nu/~meder/toolz/Multipartify.txt


解决方案:

厂商补丁:
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:


https://www.owasp.org/index.php/Image:Stinger-2.5.jar
【转自www.bitsCN.com】
struts2开发注意事项
光线技术博客
09-06 432
我有一个index.jsp ,  是全部的首页, 内容如下 : Jsp代码   "java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>   "/home.action" />    用于, 转发到 home.action  , 可就是不管用, 怎么也转发不过去,  网上找了一下,解
OSWAF 的JavaEE实现
GG 的专栏
02-29 1710
软件waf实现开源标准oswaf协议: https://www.owasp.org/index.php/Category:OWASP_Stinger_Project 基于java EE实现oswaf: https://www.owasp.org/index.php/How_to_Build_an_HTTP_Request_Validation_Engine_for_Your_J2
使用JSP/Servlet技术开发新闻发布系统
ljh_learn_from_base的博客
05-30 1万+
第一章:动态网页开发基础  动态网页:是指在服务器端运行的,使用程序语言设计的交互式网页,它们会根据某种条件的变化,返回不同的网页内容 动态网页需要使用服务器端的脚本语言,例如:JSP技术就是使用Java+HTML 动态网页的优势: 1:交互性:       网页会根据用户的要求和选择而动态改变和显示内容 2:自动更新:       无须改变页面代码,便会自动生成新的页面
jsp/servlet/struts/hibernate/spring内部实现机制
Hello World!
11-12 1万+
jsp原理 一、JSP工作原理 JSP程序需要运行于特定的Web服务器中,例如Tomcat/WebLogic等。所有JSP文件,在执行的时候都会被服务器端的JSP引擎转换为Servlet程序(Java源文件),然后调用Java编译器将Servlet程序编译为class文件(字节码文件),并由Java虚拟机(JVM)解释执行。JSP的运行原理如图所示: 在一个JSP文件第一次被请求时,JS
Servlet/JSP、Struts1、Struts2以及SpringMVC的线程安全
that_is_cool的博客
05-29 708
Servlet/JSP、Struts1、Struts2以及SpringMVC的线程安全性    一、Servlet/JSP    Servlet/JSP一直都是MVC界的老大哥,我们来回顾一下Servlet的生命周期。    当客户端第一次请求Servlet时,Web容器会根据web.xml中的配置文件创建一个Servlet实例,而后调用init()方法,仅一次(注意);之后每一次请求都会执行Se...
strutsservlet的区别和联系
释迦不加糖、
05-02 3770
struts2.0中,可以通过ServletActionContext.getRequest()获取request对象。  在action的方法中return一个字符串,该字符串对应struts.xml中的result标签的name相同,result标签中包含的就是跳转页面,  其原理,我的理解是这样的:  一.客户端提起一个(HttpServletRequest)请求,如上文在浏览器中输
springmvc、struts2、servlet的联系与区别
aiwokache的博客
11-19 1446
servlet运行流程 图1 - servlet运行详解(下) - dainner 二 servlet生命周期 图1 - servlet生命周期(五) - dainner 三 cookie 图1 - cookie的使用细节 - dainner 三 session 图1 - 比较cookie和session - dainner ...
一、Struts基本介绍和使用
热门推荐
也许是我送你哦
04-22 5万+
Struts的几个基本概念 1.struts是一个框架(frameset) 2.struts是一个web框架 3.框架提高了程序的规范同时,也约束了程序员的自由 4.struts是一个开源框架 Struts为什么有? struts的好处: 程序更加规范化 程序开发的效率提高了 程序的可读性增加 程序的可维护性增加了 struts的不足之处: 1.form表单有鸡肋 2.action是单态(对网站...
项目框架搭建一-后端(Servlet、Jsp、Spring、Spring MVC、Struts2、Mybatis、Hibernate)
weixin_42426099的博客
01-27 731
环境: Eclipse IDE for Enterprise Java Developers Version: 2019-03 (4.11.0) Tomcat8.0 搭建Web项目 New一个Dynamic Web Project,默认的相关设置: 运行环境:Tomcat8.0 项目名:Demo01 Web路径:WebContent 源文件构建路径:/src 二进制文件生成路径:build\c...
JavaWeb项目实战一(Servlet+Jsp项目项目搭建及登录界面)
Love&Share
04-22 2万+
之前 JavaWeb 学的不是太好,准备从下边列的三个发展阶段,每个阶段以项目形式去补充基础 JavaWeb 发展阶段: Servlet + Jsp SSM:SpringMVC + Spring + MyBatis 其实在中间阶段还存在 SSH(Struts + Spring + Hibernate),SSM 框架其实就是用: SpringMVC 可以完全替代 Struts,配合注解的方式,编程非常快捷,而且通过 restful 风格定义 url,让地址看起来非常优雅 MyBatis 替换 Hib.
servletstruts2笔记
07-17
### servletstruts2笔记 #### 一、Servlet 基础 **Servlet** 是 Java Web 开发中的一种核心技术,它被设计用于处理客户端发送到服务器的 HTTP 请求,并且能够生成响应。Servlet 可以看作是服务器端的小程序,...
Jsp/Servlet Java SSHDemo项目演示
通过上述的知识,可以看出“sshdemo.rar_Jsp/Servlet_Java_”涉及的是基于Jsp和Servlet技术的Java Web应用程序开发,其中可能包含了SSH框架使用,数据库操作,安全性和性能优化等方面的内容。对于学习者和开发者...
Web项目开发必备的StrutsServlet架包整合包
使用Struts框架进行Web开发时,需要注意以下几: - **学习曲线**:虽然Struts框架提供了许多便利,但初期学习可能会有一定难度,需要理解MVC设计模式。 - **维护性**:随着项目规模的扩大,维护Struts配置文件...
使用Struts框架开发小型JSP项目
不过需要注意的是,随着技术的发展,现代Web开发更倾向于使用诸如Spring MVC、Struts 2等更先进的框架Struts由于安全性和维护性问题,逐渐被边缘化。但是,了解Struts依然是Java Web开发领域一项重要的技能。
五次多项式换道转向避撞轨迹规划可视化Matlab代码(分析不同车速与路面附着系数对换道时间、距离及横向加速度的影响)
11-27
五次多项式换道转向避撞轨迹规划可视化Matlab代码(分析不同车速与路面附着系数对换道时间、距离及横向加速度的影响)内容概要:本文介绍了一套基于五次多项式插值的换道转向避撞轨迹规划方法,并提供了完整的Matlab可视化代码实现。该方法用于自动驾驶或智能车辆在紧急避障场景下的平滑轨迹生成,重分析了不同初始车速与路面附着系数对换道过程的影响,包括换道所需时间、行驶距离及横向加速度的变化规律,从而评估轨迹的安全性与舒适性。文中通过仿真展示了在多种工况下轨迹的动态特性,帮助理解车辆动力学约束与路面条件对路径规划的影响。; 适合人群:具备一定车辆动力学基础和Matlab编程能力的研究生、科研人员及从事自动驾驶路径规划的工程技术人员。; 使用场景及目标:①研究自动驾驶车辆在避障换道过程中的轨迹生成与优化;②分析车速与路面摩擦系数对换道性能(如时间、距离、横向加速度)的影响;③为智能驾驶系统提供可验证的轨迹规划算法原型与仿真平台; 阅读建议:建议结合Matlab代码逐段运行并调整参数(如车速、附着系数),观察仿真结果变化,深入理解五次多项式在横向轨迹规划中的应用优势与局限,同时可扩展至更复杂的动态环境或多车协同场景。
中国移动数据分类分级及重要数据管控指导意见(1).docx
11-27
中国移动数据分类分级及重要数据管控指导意见(1)
基于数据驱动的 Koopman 算子的递归神经网络模型线性化,用于纳米定位系统的预测控制研究(Matlab代码实现)
最新发布
11-27
基于数据驱动的 Koopman 算子的递归神经网络模型线性化,用于纳米定位系统的预测控制研究(Matlab代码实现)内容概要:本文围绕“基于数据驱动的Koopman算子的递归神经网络模型线性化”展开,旨在研究纳米定位系统的预测控制方法。通过结合数据驱动技术与Koopman算子理论,将非线性系统动态近似为高维线性系统,进而利用递归神经网络(RNN)建模并实现系统行为的精确预测。文中详细阐述了模型构建流程、线性化策略及在预测控制中的集成应用,并提供了完整的Matlab代码实现,便于科研人员复现实验、优化算法并拓展至其他精密控制系统。该方法有效提升了纳米级定位系统的控制精度与动态响应性能。; 适合人群:具备自动控制、机器学习或信号处理背景,熟悉Matlab编程,从事精密仪器控制、智能制造或先进控制算法研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①实现非线性动态系统的数据驱动线性化建模;②提升纳米定位平台的轨迹跟踪与预测控制性能;③为高精度控制系统提供可复现的Koopman-RNN融合解决方案; 阅读建议:建议结合Matlab代码逐段理解算法实现细节,重关注Koopman观测矩阵构造、RNN训练流程与模型预测控制器(MPC)的集成方式,鼓励在实际硬件平台上验证并调整参数以适应具体应用场景。
鄱阳湖水系.zip
11-27
水系流域矢量数据,坐标系wgs84,是流域范围,数据格式shp格式
基于STM32的宠物定位系统
11-27
基于STM32的宠物定位系统
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值