代码审计之jsp+servlet模式从客户端接收参数的函数大全

最新推荐文章于 2025-06-05 23:26:14 发布
最新推荐文章于 2025-06-05 23:26:14 发布
阅读量1.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/nextdoor6/article/details/51753891
本文介绍了JSP中客户端数据的接收方式,包括通过HttpServletRequest类的各种方法获取参数、请求头等信息,以及如何使用EL表达式简化这些操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在java代码审计的过程中,jsp+servlet架构的形式是我们学习javaweb开发的基础,虽然它不如SpringMVC框架流行,但是在view层的处理还大多依赖于jsp,jsp作为用户和服务器操作数据的入口,我们总结一下jsp的输入函数还是十分必要的。安全的威胁也是主要来自于客户端的输入,如果我们对客户端的数据数据在后台有严格的校验,那么我们也就能更深层次的保护我们的网站安全。在java代码审计的过程中,对数据流进行跟踪也是一种常用的审计方法。我们就总结并验证了一下jsp中接收客户端数据的函数。首先我们介绍这个HttpServletRequest类。这个类主要接收客户端请求的类。我们分析的大部分函数也都是在这个类中。

HtppServletRequest对象

获得客户端请求参数方法
request.getParameter(String name)


接收参数的多个值的方法(一个参数多个值情况)
request.getParameterValues(String name)

接收参数的名字
request.getParameterNames()

接收参数的名字和值
request.getParameterMap()

获取客户机请求头方法
request.getHeader(string name)
request.getHeaders(String name)
request.getHeaderNames() 

调用此方法来读取来自客户端表单的数据流
request.getInputStream()
request.getReader()


获取客户端发送的请求cookie
request.getCookies()


获取参数和值
request.getQueryString()

获取客户端发出请求时的网站url
request.getRequestURL()

返回请求文件内容的长度,返回值类型为int,长度伪造
request.getContentLength()

获取请求文件内容的类型
request.getContentType()


jsp中EL表达式获取客户端内容

EL表达式

${param.name}
相当于request.getParamter(name)

${paramvalues.name}
相当于request.getParamtervalues(name)

${header.name}
相当于request.getHeader(name)

${headerValues.name}
相当于request.getHeaderValues(name)


获取带有特定名称的第一个cookie值
${cookie.name.value}

获取请求的参数字符串
${pageContext.request.queryString}

获取请求的URL,但不包括请求的参数字符串
${pageContext.request.requestURL}


Java代码审计企业级实战
悦分享
07-15 2787
跨站请求伪造是一种使已登录用户在不知情的情况下执行某种动作的攻击。在/reset接口,因为代码@SessionAttributes("user"),将user对象从ModelMap中读出并放入session中,因此user中的answer=hhd也加入了session中。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码。恶意攻击者可以伪造ZIP文件中用来描述解压条目大小的字段,因此,getSize()方法的返回值是不可靠的。...
Java代码审计前置知识——SpringMVC基础
m0_61506558的博客
10-25 727
Model2这样不仅提高的代码的复用率与项目的扩展性,且大大降低了项目的维护成本。Model 1模式的实现比较简单,适用于快速开发小规模项目,Model1中JSP页面身兼View和Controller两种角色,将控制逻辑和表现逻辑混杂在一起,从而导致代码的重用性非常低,增加了应用的扩展性和维护的难度。Model2消除了Model1的缺点。1.4 回顾ServletSpring MVC是Spring Framework的一部分,是基于Java实现MVC的轻量级Web框架轻量级,简单易学。
JSP代码审计】从代码审计的角度看系统接口的安全性
FHGFHFYUUGY的博客
05-17 750
0x00 前言 代码审计的系统为某计费系统,本着学习交流的态度对本系统进行了审计,在审计过程中发现了诸多安全问题,本文在此列出几项比较经典的漏洞。在此感谢花茶安全团队的天堂空气提供的源码。 0x01 XSS漏洞 在路由userdatachange中存在XSS漏洞,此路由为用户资料修改页面,在此路由中,并不存在XSS漏洞,原因是该系统存在XSS过滤器,但是并不会影响我们保存在数据库中的数据,此...
java代码审计--jsp基础学习
goddemon
09-14 652
jsp语法动作内容 一.jsp生命周期 二.jsp语法 1.<% %>#语句类写的地方,常规写的地方 2.<%! %>#变量定义的地方 如<%! int i = 0; %> 3.<%= %>#表达式 #如获取当前的日期 <%= (new java.util.Date()).toLocaleString()%> 4.注释 <!-- --> <%-- --%> 三.jsp指令与动作元素 3.1 三大典型指令 jsp语法
代码审计之SpringBoot_Servlet_MVC框架
最新发布
没有网络安全就没有国家安全
06-05 897
初学代码审计,从框架的路由开始入手,适合跟着实践操作,想要在网络安全更进一步的大佬们一起看看提提建议
JavaScript审计
热门推荐
richard1230的博客
03-22 1万+
前言 Javascript (.js) 文件一般存储的是客户端代码,Javascript 文件可帮助网站执行某些功能,例如监视单击某个按钮的时间,或者当用户将鼠标移到图像上,甚至代表用户发出请求(例如检索信息)时。有时开发人员可以混淆他们的 javascript 代码,使人无法正常阅读,但是大多数类型的混淆是可以反混淆的;如果你是一个漏洞赏金猎人,你应该花一些时间从中寻找宝藏。如果运气好,可能会发现严重程度较高的漏洞。怎么找js 第一种方法为手动找: 右键单击所在的页面并单击“查看源代码”(,然后开始在 H
jsp网上书店代码_代码审计 | Wavsep靶场审计防御
weixin_39590868的博客
12-06 226
—————— 昨日回顾 —————— 红日安全出品|转载请注明来源文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全)代码审计 | zzcms8.2—————— —————— —————(点击上方文字可直接阅读哦)1.1 基于wavsep靶场的jsp代码审计防御本次实验是基于wavsep进行设计,因此我们...
代码审计JSP使用HTML注释
发哥微课堂
08-21 395
0x00:介绍 这个问题很简单,甚至不算问题,可以把它归类到代码质量类。该问题顾名思义,即在JSP文件中使用了HTML注释。JSP的注释为<%-- --%>,HTML注释为<!-- -->。而JSP中除了本身注释外,HTML注释同样有效。 但也有区别之分,区别在于,JSP本身的注释内容我们右键源码是查看不到的,而JSP中使用HTML注释后,右键源码可查看注释内...
JSP+Servlet+JavaBean开发的图书馆管理系统详细介绍
JSP+Servlet架构中,Servlet通常作为控制器,负责接收来自用户的请求,并调用相应的JavaBean来处理业务逻辑,最后将结果返回给JSP页面。Servlet使用.java扩展名,并需要编译成.class字节码文件才能在服务器上执行...
JSP+Servlet+JavaBean实现数据库登录验证技术
Servlet中,可以实例化这个JavaBean来存储从数据库中查询到的用户信息,然后将JavaBean作为参数传递给JSP页面显示。 4. JDBC的配置和使用 JDBC API用于连接数据库并执行SQL语句。开发者需要在项目中添加JDBC驱动...
JSPServlet深入对话】:打造数据库交互的极致性能
![【JSPServlet深入对话】:打造数据库交互的极致性能]...接着,文章着重于性能优化的多个层面,从代码级优化到系统级和数据库级优化进行了详
代码审计
tryheart的博客
09-19 1031
代码审计 检查源代码中的安全缺陷、编码不规范的地方。 通过自动化工具或人工审查的方式,对程序源代码逐条进行检查和分析,发现这些代码缺陷引发的安全问题,并提供修订措施和建议 代码审计的对象包括并不限于JAVA、C、C#、ASP、PHP、JSP、JS 审计包括 前后台分离的运行架构 WEB服务的目录权限 认证会话与应用平台的结合 数据库的配置规范 SQL语句的编写规范 WEB服务的权限配置 对抗爬虫引擎的处理措施 常见高风险漏洞 非边界检查函数可能导致缓冲区溢出漏洞 可能干扰后续检查的缓存区的指针操作 调用类似
代码审计:审计思路之实例解说全文通读
weixin_33894992的博客
11-26 350
2019独角兽企业重金招聘Python工程师标准>>> ...
HttpServletRequest对象
dirft_lez的博客
07-09 198
HttpServletRequest对象 ​ HttpServletRequest 对象:主要作用是用来接收客户端发送过来的请求信息,例如:请求的参数,发送的头信息等都属于客户端发来的信息,service()方法中形参接收的是 HttpServletRequest 接口的实例化对象,表示该对象主要应用在 HTTP 协议上,该对象是由 Tomcat 封装好传递过来。 ​ HttpServletRequest 是 ServletRequest 的子接口,ServletRequest 只有一个子接口,就是 Htt
[ 代码审计篇 ] Java web 代码审计 详解(三)--- java web 所需知识之 Servlet 介绍
qq_51577576的博客
01-01 657
???? 博主介绍 ????‍???? 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 ????点赞➕评论➕收藏 == 养成习惯(一键三连)???? ????欢迎关注????一起学习????一起讨论⭐️一起进步????文末有彩蛋 ????作者水平有限,欢迎各位大佬指点,相互学习进步! 本文介绍的是代码审计前导知识 java web 所需知识之 servlet 知识 目录 ???? 博主介绍
代码审计————目录
Fly_鹏程万里
06-05 567
EmlogEmlog&lt;=5.3   后台无视验证码暴力破解实现登录Emlog&lt;=5.3   敏感信息泄露
Java代码审计——servlet
m0_46317063的博客
10-05 233
Java代码审计基础 笔记
Java代码审计-Servlet学习
as you know, nlp is fantasitc!
06-20 215
1.2 基于注解的方式配置 启用注解支持web.xml 的顶层标签 中有一个属性:metadata-complete,该属性用于指定当前 web.xml 是否是完全的。若该属性设置为 true,则容器在部署时将只依赖 web.xml,忽略所有的注解。若不配置该属性,或者将其设置为 false,则表示启用注解支持。在第一次创建servlet的时候被调用,如果servlet已经初始化,那么会跳过这一个方法;也就是说init方法在servlet生命周期中只执行一次传入参数ServletCo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值