【网络安全 | 代码审计】JFinal之DenyAccessJsp绕过

已于 2024-09-14 23:54:12 修改
阅读量397 收藏 2
点赞数 2
分类专栏: 网络安全 文章标签: web安全 java 代码审计 漏洞挖掘
于 2024-09-14 21:33:16 首次发布
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/142266699
版权

未经许可,不得转载。

文章目录

前言

JFinal 是一个基于 Java 的轻量级 MVC 框架,用于快速构建 Web 应用程序。它的设计理念是追求极简、灵活、高效,旨在提高开发效率,减少冗余代码的编写,适合中小型项目以及对性能有较高要求的项目。

在较新的 JFinal 版本中,默认情况下无法直接通过浏览器地址栏输入 .jsp 文件名来访问对应的 JSP 文件。

也就是说,主页面的访问地址可能是 www.example.com/main,而不是 www.example.com/main.jsp

代码审计

现在让我们看看代码是如何阻止我们直接对.jsp文件访问的。

以5.0.2版本为例,启动JFinal后,系统调用对应的过滤器com.jfinal.core.JFinalFilter,先是使用init()进行初始化:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
专栏目录
订阅专栏
Jfinal框架学习系列之二(JSP
hu1991die的专栏
04-21 5457
API里面说到jfinal框架支持JSP视图类型等多种视图类型,然后自己用的也是jsp,对jsp稍微熟悉一点,然后就想看看在jfinal中怎么使用jsp。这里实现一个小小的demo例子,还是基本的增删改查功能。分别使用Mysql和Oracle两种数据库。。。。。数据库脚本:1、MysqlCREATE DATABASE jfinal_demo;USE jfinal_demo;CREATE TABLE
看我如何突破JFinal黑名单机制实现任意文件上传
weixin_43006749的博客
09-04 336
JFinal是国产优秀的web框架,短小精悍强大,易于使用。近期团队内一名小伙伴(LuoKe)在安全测试的时候报了一个很玄学的任意文件上传,笔者本着知其然必知其所以然的态度去跟进了一下问题代码,发现问题系统在处理上传文件功能的时候使用了JFinal框架,于是去对该框架上传文件处的代码做了一下审计,发现了JFinal上传文件的黑名单机制的存在被绕过的风险。目前该漏洞已上报至厂商并修复,本文章意在和各...
JFinalcms 5.0.0代码审计(1)
weixin_44513407的博客
06-28 761
JFinalcms代码审计
JFinalcms代码审计
蚁景网安学院
10-14 413
JFinalCms是开源免费的JAVA企业网站开发建设管理系统,极速开发,动态添加字段,自定义标签,动态创建数据库表并crud数据,数据库备份、还原,动态添加站点(多站点功能),一键生成模板代码。
代码审计.jfinal.XSS
qq_34012951的博客
03-03 185
detail 查看没有对xss特征进行过滤。1、搜索关键特征,查看是否有xss过滤器。更新修改功能没有对前端参数进行XSS过滤。2、没有全局过滤器,梳理所API.
JAVA代码审计JFinal_cms
RestoreJustice的博客
10-18 905
JFinal_cms 的一次代码审计
代码审计.jfinal.sql注入
qq_34012951的博客
03-03 387
预编译未用占位符,无效预防sql注入。
Java代码审计篇 | ofcms系统审计思路讲解 - 篇2 | SQL注入漏洞审计
哦 卷!
09-09 961
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。SQL注入漏洞审计Java代码审计篇 - ofcms系统审计思路讲解 - 篇1 - 环境搭建、路由机制。
Java代码审计篇 | ofcms系统审计思路讲解 - 篇3 | 文件上传漏洞审计
哦 卷!
09-10 1685
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。SQL注入漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。
网络安全 | Java代码审计】JreCms代码审计
等风来
09-15 494
Jrecms 是一款基于 Java 开发的开源内容管理系统(CMS),用于快速搭建网站、博客、企业门户等。
jfinal cms源代码
03-18
jfinal cms是一个java开发的功能强大的信息咨询网站,采用了简洁强大的JFinal作为web框架,模板引擎用的是beetl,数据库用mysql,前端bootstrap框架。 支持oauth2认证、帐号注册、密码加密、评论及回复,消息提示,...
jfinal-jfinal-weixin-master_jfinal_jfinalwx源代码_littlev4s_DEMO_微信
09-30
JFinal Weixin 是基于 JFinal 的微信公众号极速开发 SDK,只需浏览 Demo 代码即可进行极速开发,自 JFinal Weixin 1.2 版本开始已添加对多公众号支持。
jfinal代码生成器generator
08-29
jfinalweb开发使用,数据库表建好后,可生成表对应的Model,Service,Controller,sql模板等以及web应用相关的一些文件或者在数据库修改后一键同步model.附件中是jar包和一份使用实例代码.
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
10-10 1383
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
最新发布
2401_84466224的博客
10-15 616
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
2024年网络安全进阶手册:三个月黑客技术自学路线
2401_85027336的博客
10-12 1114
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
jfinal 事务代码示例
08-29
JFinal是一个Java Web开发框架,它提供了简洁的API和丰富的功能来简化Web应用程序的开发。在JFinal中,事务处理是通过`Db`类的`tx()`方法来实现的。下面是一个简单的JFinal事务代码示例: ```java import com.jfinal.plugin.activerecord.Db; import com.jfinal.plugin.activerecord.Record; public class TransactionExample { public void performTransaction() { // 开启事务 Db.tx(new IAtom() { @Override public boolean run() throws SQLException { try { // 执行第一个数据库操作 Record record1 = new Record(); record1.set("name", "张三"); record1.set("age", 25); Db.save("user", record1); // 执行第二个数据库操作 Record record2 = new Record(); record2.set("name", "李四"); record2.set("age", 30); Db.save("user", record2); // 如果所有操作都成功,则提交事务 return true; } catch (Exception e) { // 如果出现异常,回滚事务 return false; } } }); } } ``` 在这个示例中,我们首先导入了`com.jfinal.plugin.activerecord.Db`和`com.jfinal.plugin.activerecord.Record`类。然后,我们创建了一个名为`TransactionExample`的类,并在其中定义了一个名为`performTransaction`的方法。这个方法使用`Db.tx()`方法来开启一个事务,并传入一个实现了`IAtom`接口的匿名内部类。在`run()`方法中,我们执行了两个数据库操作:保存两个用户记录。如果这两个操作都成功执行,那么事务将被提交(返回`true`);否则,事务将被回滚(返回`false`)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值