DWR安全性疑问描述

最新推荐文章于 2021-02-26 10:30:51 发布

最新推荐文章于 2021-02-26 10:30:51 发布 · 154 阅读

文章标签：

#DWR #JavaScript #框架 #工作 #C #ViewUI

学习笔记专栏收录该内容

6 篇文章

订阅专栏

背景前提:

针对UserRemote这个远程调用

其中有两个方法:

deleteUser和existsUserID

都是可供远程调用的。

问题描述：

假如某个页面只需要用到existsUserID来判断用户是否存在，那么就一定有调用deleteUser来删除用户的能力，这显然是不安全的。

举例：

1) 某用户登录后输入url可以到达填写信息的页面

2)
这里会调用existsUserID

因此引用js文件

3) 在地址栏中输入

javascript:UserRemote.deleteUser(75,function(date){alert(date);});

4) 这样意味着一个普通用户也能执行删除别的用户的操作

解决方案：

因为dwr不能（或者是我不知道）获取Session，难以做权限判断，而且在业务层也不应该做过多不纯粹的工作，应该交由框架级的拦截器做这个权限工作。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

iteye_20799

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

java dwr 漏洞_实战渗透-基于DWR框架下的漏洞探测

weixin_34878397的博客

02-26

5457

前言未经授权，禁止转载！0x01前段时间,在对某站群系统进行代码审计时,发现某处DWR-AJAX接口存在文件上传漏洞代码层:public String upload(InputStream is, String fileName) {String fileUploadPath = getFileUploadPath();String file = String.valueOf(fileUpload...

dwr.xml配置描述及JSP上的引用_1

05-25

然而，使用DWR时也要注意安全性，因为它允许JavaScript直接调用服务器端的方法，因此应避免暴露敏感的或不安全的操作。总的来说，DWR通过简化AJAX开发，使得Web应用能够实现更丰富的交互体验。正确配置`dwr.xml`并...

参与评论您还未登录，请先登录后发表或查看评论

DWR的安全性_Len_qin_新浪博客

Allen_qin的博客

12-11

167

前段时间将自己的应用也搭建了DWR框架，这东西确实很好用，它给java与web的交互提供了很好的解决方案，在ajax基础上做了不错的扩展。开发人员只需简单配置下配置文件，web端引用自动生成的JS，就可以实现像写java代码一样做界面操作。关于它的安全性，是大家一直最关心的。从实践过程中，让我知道，大家对这个框架存在着误区。所谓安全性，不是权限外的用户操作权限内的操作，因为这个是属...

DWR安全方面(网摘)

Ghosthuo的专栏

12-17

2136

安全我们很谨慎的对待DWR的安全问题，并且认为有必要解释一下避免错误要做的事情。首先DWR让你明确哪些是被远程调用的，是如何被远程调用。原则就是DWR必须调用那些你明确允许的代码。 dwr.xml要求你为每一个远程类定义一个create项。你还可以通过指定include和exclude元素来更精确的控制远程调用Bean中可以被调用的方法。除此之外如果你希望允许DWR在转换你的J

关于dwr的安全性问题

持续改进

07-04

1276

在一些网站中，我们虽然使用了AJAX，但是我们并不希望用户能够私自调用这些AJAX，因为有些AJAX调用会包含对数据的更新操作，即使是只读的操作，也不希望用户能在本地进行直接调用。在 Michael Chen 的这篇文章中 [url]http://michael.nona.name/archives/142[/url] ，提及了ajax应用中的安全问题，并且给出了一个临时的解决方案。虽然我...

关于DWR与Servlet、安全

像一颗晨土

05-10

450

使用DWR做Remote，完全绕过传统的MVC框架，如Struts、Webwork，单用一个DWRServlet来做控制器。DWR向客户端暴露了服务端的服务接口，很有可能有没有任何限制的情况下被客户端调用所暴露的接口。如果使用传统的MVC框架，可以很方便地解决很多问题诸如身份验证、权限控制等。而DWR提供的功能是给客户端暴露服务接口。上面所涉及的问题却少有牵涉。不过，解决方案还是有的。其中之一...

dwr源码.rar_DWR源代码

09-24

3. **安全性**：分析DWR的安全机制，如白名单、黑名单、跨站脚本防护等。 4. **异步通信**：研究DWR的异步处理模型，包括回调函数、事件处理和错误处理。 5. **数据转换**：深入`Converter`接口，学习如何自定义数据...

dwr.rar_dwr_dwr tutorial

09-21

DWR提供了安全性设置，如白名单机制，确保只有预定义的Java方法可以从客户端调用，防止非法访问。此外，它还支持CSRF（跨站请求伪造）防护。 **5. 实战应用：** 在实际项目中，DWR可以用于实现各种功能，例如： - *...

dwr.rar_dwr_dwr Stri_dwr javabean

09-24

`Allow`定义了哪些Java类和方法可以被JavaScript访问，确保安全性。`Ajax`则处理实际的异步通信，使页面更新无需刷新。 1. **字符串(String)**操作：在DWR中，字符串操作非常直接。你可以像调用本地JavaScript函数...

DWR介绍及使用方法

08-09

7. **安全性**：为了确保安全，开发者需要限制哪些Java类和方法可以被外部访问。DWR提供了配置选项来控制这一行为，防止未授权的访问。使用DWR的优点包括： - **简化Ajax开发**：DWR通过自动生成JavaScript接口，...

DWR小结

03-01

博文链接：https://huxiuliang.iteye.com/blog/234274

DWR框架配置学习教程

01-23

DWR框架配置学习教程DWR框架配置学习教程

DWR(Direct Web Remoting)介绍

07-20

DWR 是一个开放源码的使用 Apache 许可协议的解决方案，它包含服务器端 Java 库、一个 DWR servlet 以及 JavaScript 库。虽然 DWR 不是 Java 平台上唯一可用的 Ajax-RPC 工具包，但是它是最成熟的，而且提供了许多有用的功能

buffalo dwr漏洞

weixin_33984032的博客

10-15

338

在编写java代码的时候，我们可能经常使用buffalo实现AJAX的调用，将一个java代码直接发布成可以js可远程调用的方法，在得到方便的同时，可能我们忽略了安全问题，如果java代码不是读取数据那么简单，而是删除，更新数据库或者文件操作的方法。黑客就很有可能通过如下代码进行攻击，想想如果该方法是个删除关键数据的操作，那就危险了。 public static void...

java dwr 漏洞_DWR异常情况处理常见方法解析

weixin_42346710的博客

02-26

1221

在本次项目中，由于时间紧张直接使用DWR做Ajax请求！要求的是动态展示，那就需要使用DWR轮询请求，但是需要做异常情况下的一些处理！特别是DWR在遇到异常后，后台不报错，前台也只提示一个 Error ！如果是轮询的话，那么就一直弹出 Error ，那谁收到了呀！对于DWR异常的处理，网上一大片都是这样说的，在DWR配置中增加一个转换器，将异常转换为一般异常，这样在前台就不是提示 Error，而是...

java sql注入包_SQL注入漏洞-Java

weixin_42160278的博客

02-24

248

这个是常见的漏洞了，相信大家都不会陌生，直接上解决该漏洞的代码package com.ifan.soft.filter;import java.io.IOException;import java.text.SimpleDateFormat;import java.util.Date;import javax.servlet.Filter;import javax.servlet.FilterCh...

java dwr 漏洞_Java DWR内存泄漏问题解决方案

weixin_28685287的博客

02-26

712

机器跑了一晚上，发现有崩溃现象，由于页面内有动态绘图功能，我怀疑是绘图原因，但是今天上午有人提醒我才想到，是不是间隔调用时DWR产生了内存泄漏问题？网上查了一下貌似大家都在讨论这个问题，之前我也挺老手说过DWR有内存问题，可是没有遇到过。原来DWR在间隔调用这种情况下会有问题！按照大家的说法，修改engine.js配置文件来解决问题，目前我也修改了一下，修改方法如下：在dwr.engine._se...

DWR 的安全性

john521

04-30

358

DWR 的安全性 在使用 DWR 时要明确哪些类和方法是可以被远程调用的。dwr.xml 要求为每一个远程类定义一个 create 项。还可以通过指定 include 和 exclude 元素控制远程调用 Bean 中可以被调用的方法，而不是把所有的方法都暴露给服务器端。除此之外，如果要 DWR 在转换 JavaBean 到 Javascript 时有一定限制，可以控制哪些 bean 的属性可...

DWR高级主题之DWR安全机制

fhd001的专栏

12-20

2882

DWR高级主题之DWR安全机制 ---------- 很多其他Ajax工具对安全性考虑不够，让你直面安全威胁。DWR提供一些安全机制，你也许会发现它非常适合自己的需求。DWR使用多层安全保障方法，但是，至少有一个机制必须始终启用。 1.默认拒绝无须做任何设置，DWR会自动采用"默认拒绝"方法。这意味着，在默认情况下，DWR不允许任何类被远程访问。回想一下希望远程访问的每个类，必须在配

DWR深度解析：Ajax框架的JavaEE实践与安全性

DWR的优势在于安全性，尽管通常认为远程访问存在风险，但DWR采取了有效的措施来保障安全。此外，DWR简化了开发者的工作流程，减少了代码量，提高了开发效率，特别是在处理复杂的业务逻辑和数据交互时，DWR能够无缝...