urlrewrite-------解决大型WEB系统URL暴露安全问题

最新推荐文章于 2023-12-05 15:00:59 发布
最新推荐文章于 2023-12-05 15:00:59 发布 · 206 阅读 · 0
文章标签:

#web.xml #java

本文介绍了一个使用UrlRewriteFilter进行URL重写的实例,通过修改Web应用的URL来隐藏真实的文件路径,提高安全性。具体步骤包括引入依赖、配置web.xml、编写处理类及配置文件等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

未经过改写的WEB系统的URL可以泄漏工程文件的目录,为了保证WEB系统的安全,免遭黑客的攻击,我们通常要对URL进行重写,目的就是使访问者看不到真实的路径,从而可以减少黑客攻击的可能性,下面给出一个简单的登陆例子,将http://localhost:8080/urlrewrite/login.do改写为http://localhost:8080/urlrewrite/mylogin/

1.首先去优快云下载频道搜索urlrewrite-2.6.0.jar这个文件,然后将其放在工程目录的WEB-INFO/LIB下。

2.配置web.xml

<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" version="2.5" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"> <servlet> <servlet-name>action</servlet-name> <servlet-class>org.apache.struts.action.ActionServlet</servlet-class> <init-param> <param-name>config</param-name> <param-value>/WEB-INF/struts-config.xml</param-value> </init-param> <init-param> <param-name>debug</param-name> <param-value>3</param-value> </init-param> <init-param> <param-name>detail</param-name> <param-value>3</param-value> </init-param> <load-on-startup>0</load-on-startup> </servlet> <servlet-mapping> <servlet-name>action</servlet-name> <url-pattern>*.do</url-pattern> </servlet-mapping> <filter> <filter-name>UrlRewriteFilter</filter-name> <filter-class> org.tuckey.web.filters.urlrewrite.UrlRewriteFilter </filter-class> <init-param> <param-name>logLevel</param-name> <param-value>WARN</param-value> </init-param> </filter> <filter-mapping> <filter-name>UrlRewriteFilter</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> <dispatcher>FORWARD</dispatcher> </filter-mapping> <welcome-file-list> <welcome-file>login.jsp</welcome-file> </welcome-file-list> </web-app>

3.编写页面login.jsp.success.jsp以及failure.jsp

login.jsp <%@ page language="java" import="java.util.*" pageEncoding="utf-8"%> <%@ taglib uri="http://java.sun.com/jsp/jstl/core"prefix="c"%> <% String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/"; %> <html> <body> <form action="<c:url value='/login.do'/>" method="post"> <center> 用户名:<input type="text" name="username"/> 密 码:<input type="password" name="password"/> <input type="submit"value="提交"/> </center> </form> </body> </html> success.jsp <%@ page language="java" import="java.util.*" pageEncoding="utf-8"%> <html> <body> success! </body> </html> failure.jsp <%@ page language="java" import="java.util.*" pageEncoding="utf-8"%> <html> <body> failure! </body> </html>

4.编写action处理类及其配置struts-config.properties

LoginAction.java package com.zxc.struts.action; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.struts.action.Action; import org.apache.struts.action.ActionForm; import org.apache.struts.action.ActionForward; import org.apache.struts.action.ActionMapping; public class LoginAction extends Action { public ActionForward execute(ActionMapping mapping, ActionForm form, HttpServletRequest request, HttpServletResponse response) { // TODO Auto-generated method stub String username=request.getParameter("username")==null?"":request.getParameter("username"); String password=request.getParameter("password")==null?"":request.getParameter("password"); if(username.equals("java")&&password.equals("java")) return mapping.findForward("success"); else return mapping.findForward("failure"); } } struts-config.properties <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE struts-config PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 1.3//EN" "http://struts.apache.org/dtds/struts-config_1_3.dtd"> <struts-config> <form-beans /> <global-exceptions /> <global-forwards /> <action-mappings > <action path="/login" type="com.zxc.struts.action.LoginAction" cancellable="true" > <forward name="success" path="/success.jsp"/> <forward name="failure" path="/failure.jsp"/> </action> </action-mappings> <message-resources parameter="com.zxc.struts.ApplicationResources" /> </struts-config>

5.配置urlrewrite.xml文件,注意将其放到与web.xml同级目录中,并且配置的时候正向和逆向都得配置

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE urlrewrite PUBLIC "-//tuckey.org//DTD UrlRewrite 2.6//EN" "http://tuckey.org/res/dtds/urlrewrite2.6.dtd"> <!-- Configuration file for UrlRewriteFilter http://tuckey.org/urlrewrite/ --> <urlrewrite> <!-- 正向 --> <rule> <note> Login </note> <from>^/mylogin[/]?$</from> <to>/login.do</to> </rule> <!-- 逆向 --> <!-- Copy of invoice order --> <outbound-rule> <note>Login</note> <from>/login.do</from> <to>/mylogin/</to> </outbound-rule> </urlrewrite>

6.运行结果

输入用户名和密码之后,你会发现浏览器的地址变成了http://localhost:8080/urlrewrite/mylogin/

UPC_思念
关注
QA自己动手写前端接口暴露和调用
lemo_ice的博客
06-16 1262
前两篇说了比较基础的页面跳转和数据获取,这次说一下比较主要的接口调用步骤。 我们获得数据后需要发送请求给后端服务器处理,然后获取对应的返回结果。 现在一个功能需求就是通过选择的日期来获取对应的数据列表,前面我们已经说过了,日期我们是可以通过组件返回的value数组来获取。 那么我们就需要在对应的事件方法中去把这个数据发出去,这里你不需要明白怎么发,因为公用的request包都已经写好,你只需要把数据发送到对应的url即可,这里可以把前端理解为postman。 所以首先你要先想清楚你需要哪些请求,是post还
vue 项目中 webpack 打包暴露配置文件
神膘护体小月半的博客
12-15 2863
应用场景 在实际工作中,为了调试方便,可能需要随时更换接口环境、加解密等相关配置。如果每次调试都重新打包,操作起来比较麻烦,且 webpack 打包之后的内容无法进行反向编译。 我们可以在全局暴露出一个配置文件,使这个文件不会被 webpack 打包,以此用来控制我们需要频繁更改的配置参数。 目录结构及使用 在 static 文件下新建一个 js 文件,我这里起名为 config.js |-- public |-- |-- js |-- |-- static |-- |-- |-- config.j
在ajax当中使用url重写来避免url暴露
wwty
02-24 641
记得一次面试,有这样一道面试题: jsp页面当中需要用到ajax的实现,此时需要调用javaurl;此时的问题是如果用户查看页面源码就能看到真是的url,这个问题如何避免。 说实话,AJAX我用的只是皮毛,只会用js获取参数,然后传递给java应用程序,由应用程序来加工处理。如果有返回需求的话,可以以xml的方式返回数据。 自己使用的时候没有考虑过url暴露问题,看到这个题目,当时没有了注...
对于webURL的一些安全建议
weixin_33698043的博客
11-27 333
2019独角兽企业重金招聘Python工程师标准>>> ...
对短链接服务暴露URL进行网络侦察
weixin_43977912的博客
01-26 617
Urlhunter Urlhunter是一款网络侦察和信息收集工具,该工具基于Go语言开发。在该工具的帮助下,广大研究人员可以轻松搜索通过短链接服务暴露URL以及相关资源,比如说bit.ly和goo.gl等等。 工具安装 源码安装 广大研究人员可以点击【这里】访问该项目的预构建源码并运行。比如说: tar xzvf urlhunter_0.1.0_Linux_amd64.tar.gz ./urlhunter --help Go安装 首先,我们需要在自己的计算机设备上安装并配置好Go环境。 接下来,运行下列
urlrewritefilter-4.0.4.jar.zip
08-22
UrlRewriteFilter的配置文件通常是"UrlRewrite.xml",在这个文件中,开发者可以定义一系列的规则,包括匹配条件、重写规则、重定向规则等。例如,你可以设置一个规则,将所有以".jsp"结尾的URL重写为去掉扩展名的...
WampServer2-PHP4.4.4.exe
04-14
同时,错误日志和访问日志可以帮助定位和解决问题。 9. **安全性**: 在使用WampServer时,应确保正确配置服务器的安全设置,避免暴露不必要的服务给公网,防止未授权访问和攻击。 10. **扩展与插件**: WampServer...
URL重写工具urlrewritefilter-2.6.zip实现URL伪静态
2. **配置规则文件**:在`WEB-INF`目录下创建`urlrewrite.xml`文件,并根据需要编写规则。 3. **配置web.xml**:在Web应用的`web.xml`文件中配置urlrewritefilter过滤器,确保它能够拦截请求。 4. **测试和验证**:...
urlrewritefilter-4.0.3.jar
04-16
urlrewrite是个过虑器,它将会过虑用户的所有请求,符合规则的便对其进行重定向。rule结点中from的规则默认使用的是正则表达式来匹配的,当用户访问服务器时的URL会与该配置相比较,如果符合规则就会按照下面to结点...
UrlRewrite概念原理及使用方法解析
12-16
URL重写(UrlRewrite)是一种在Web服务器中将用户请求的原始URL转换为其他URL的技术,主要用于优化网站的用户体验、提升网站的可移植性和增强搜索引擎的友好性。这一技术通常与URL伪静态化相关联,即将动态网页的URL...
web安全--UrlRewrite
sky_100的博客
11-30 5289
最近在做一个项目,在做项目的过程中发现,由于自己的命名规范,显示在url地址栏中的信息如果不加修饰,很容易被人理解并且改写。如果让别人看不懂自己网站上的url地址栏的内容是不是非常好呢,于是自己便发时间去查找资料研究了一下,最后发现UrlRewrite很趁自己的心意。经过学习发现UrlRewrite有很多优点,第一,提高安全性,可以避免参数和id等完全暴露在用户面前。第二,美化URL。第三:由于网
vue3+vite+ts地址暴露(后端修改地址,前端无需重新打包)
最新发布
weixin_45874401的博客
12-05 1037
在实际项目中,我们常遇到后端IP更新,或者服务器地址更新的情况,这时候就需要前端同步更新baseURL。我们可以利用public里面的文件不会被构建的特性,将baseURL放在public文件夹里面。
061.Django之路由控制
m0_49141258的博客
10-09 236
文章目录一 Django中路由的作用二 简单的路由配置(一) 基本使用(二) 示例:(三) **APPEND_SLASH**三 有名分组与无名分组四 路由分发(一) 什么是路由分发(二) 使用路由分发的步骤五 反向解析(一) 什么是反向解析(二) 使用场景六 名称空间七 django2.0版的path(一) 引入(二) 基本示例(三) path转化器(四) 注册自定义转化器 一 Django中路由的作用 ​ URL配置(URLconf)就像Django 所支撑网站的目录。它的本质是URL与要为该URL调用
vue.config.js使用代理配置真实请求url
盼盼大小姐的博客
11-22 4744
前端请求接口过程中为解决跨域问题,会配置代理请求url配置之后浏览器只能看到local host路径。为方便查看请求的真实ip,需要在vue.config.js中做如下配置,便能在浏览器实时查看到真实地址。
目标URL存在内部IP地址泄露--分析解决
热门推荐
小元子子的博客
06-28 1万+
详细描述内部 IP 定义为下列 IP 范围内的 IP: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255  对攻击者而言,泄露内部 IP 非常有价值,因为它显示了内部网络的 IP 地址方案。知道内部网络的 IP 地址方案,可以辅助攻击者策划出对内部网络进一步的攻击。  解决办法内部...
用户id可以出现在url中吗_百万级别知乎用户数据爬取与分析
weixin_39632698的博客
11-28 448
这次抓取了110万的用户数据,数据分析结果如下:开发前的准备安装Linux系统(Ubuntu14.04),在VMWare虚拟机下安装一个Ubuntu;安装PHP5.6或以上版本;安装MySQL5.5或以上版本;安装curl、pcntl、pdo扩展。使用PHP的curl扩展抓取页面数据PHP的curl扩展是PHP支持的允许你与各种服务器使用各种类型的协议进行连接和通信的库。本程序是抓取知乎的用户数据...
避免使用查询参数在浏览器地址栏暴露敏感信息
Terisadeng的博客
12-25 2398
通常在登录系统时会传递用户名、密码到服务器,服务器接收到数据验证通过后,再重定向到主页面。比如下面的返回参数就重定向到index映射的方法: return "redirect:/index.action?loginId=" + URLEncoder.encode(loginId, "utf-8")+"&amp;userName="+URLEncoder.encod...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值