【漏洞挖掘】——62、WEB-INF/web.xml 泄露

已于 2024-06-07 16:09:15 修改
阅读量1.4k 收藏 1
点赞数
分类专栏: 【WEB渗透】 文章标签: Web渗透测试 信息安全 网络安全 web渗透
于 2023-10-20 17:38:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/133951223
版权
【WEB渗透】 专栏收录该内容
126 篇文章 7 订阅 ¥29.90 ¥99.00
订阅专栏
基本介绍

WEB-INF/web.xml信息泄露是一种常见的安全问题,通常发生在Web应用程序未被正确配置或管理的情况下,攻击者可以通过暴力破解或者其他手段访问WEB-INF目录下的web.xml文件从而获得Web应用程序的配置信息,例如:安全配置、数据库连接信息、API密钥等

目录介绍

WEB-INF是Java Web应用程序的保护目录,存放的是与外界不应该直接交互的文件和目录,它一般位于Web应用程序的根目录下,包含以下文件和目录,对此攻击者可以通过找到web.xml文件,推断class文件的路径,最后直接class文件,再通过反编译class文件得到网站源码

  • classes目录:存放Web应用程序的Java类文件
  • lib目录:存放Web应用程序所需的Java类库文件,例如:JAR文件
  • web.xml文件:存放Web应用程序的配置信息,例如Servlet、过滤器、错误页面等
  • tld目录:存放标签库描述文件(Tag Library Descriptor),用于描述JSP页面中使用的自定义标签库
  • jsp目录:存放JSP文件,这些JSP文件不能直接通过URL访问,只能通过Servlet或其他Java类进行访问
  • tags目录:存放自定义标签文件,这些标签文件用于扩展JSP标准标签库
  • 空目录:包含一个空目录,用于在打包Web应用程序时,保留空目录结构
漏洞检测

直接访问如下URL地址:

了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Jboss启动报Failed to parse WEB-INFweb.xml; - nested throwable错误
12-09
Jboss启动报Failed to parse WEB-INF/web.xml; - nested throwable错误解决方案 在Jboss应用服务器中,启动报错Failed to parse WEB-INF/web.xml; - nested throwable是一种常见的错误,本文将对此错误进行深入分析...
信息泄露Web源码泄露
qq_50854662的博客
01-18 1842
信息泄露Web源码泄露
JAVA配置文件web.xml
lingbo89的专栏
12-10 262
contextConfigLocation节点表示spring的配置文件 context-param> param-name>contextConfigLocationparam-name> param-value>/WEB-INF/applicationContext.xmlparam-value> context-param> 多个文件以逗号隔开: con
XML 相关漏洞风险研究
最新发布
有价值炮灰
06-03 1789
使用了这么久 XML,但是对其内部细节却不甚了解,本文就来补全这个缺憾。
Web开发过程常见漏洞及解决方法
总想试试,万一成了呢??
09-19 559
1、xml配置文件泄漏问题 问题描述: 可访问localhost:8080/web-inf/web.xml获取xml配置信息 问题所在: 应用中客户端可访问的目录下存在敏感配置文件,攻击者可以直接访问到这些配置文件,获取配置文件中的敏感信息。 解决方法: 禁止服务器访问/web-inf/路径 操作步骤: nginx配置文件中nginx.conf添加 location ~ ^/(WEB-INF|ME...
BUUCTF-WEB-INF/web.xml泄露-SSTI注入
m0_64180167的博客
04-17 703
其实和sql注入一样 sql注入是通过构造字符串 让我们要比对的字符串变为执行的命令ssti也是一样的 只不过 ssti是在框架中执行 语言框架对html的渲染 因为对字符串不够严格 就容易变为命令执行是用户和页面交互的函数 页面可以通过用户的操作来展示页面。
WEB-INF/web.xml泄露
m0_60715541的博客
11-05 1507
今天谈谈WEB-INF/web.xml泄露
J2EE中关于web.xml文件的配置
12-18
J2EE中关于web.xml文件的配置
WEB-INF/web.xml泄露漏洞及其利用
Mrs_H的博客
08-10 1万+
前言 之所以写这篇文章,是因为最近在做题的时候,做到了一个有关java的题目。因为对Java Web方面的开发经验很少,所以在做这道题的时候,查了一些关于Java Web相关的知识。感觉以后说不定还会用到,就以这篇文章来总结一下。 关于WEB-INF/web.xml 在了解WEB-INF/web.xml泄露之前,我们先要知道,web.xml是一个什么样的文件,以及它的泄露会出现哪些问题。 咱们先来看看WEB-INF这个文件夹 WEB-INF主要包含以下内容: /WEB-INF/web.xmlWeb应用程
Web.xml配置文件泄露修复
dl1286670932的博客
12-21 2984
部署描述符文件描述了如何在 Servlet 容器(如 Tomcat)中部署 Web 应用程序。通常,此文件应该无法访问。但是,Acunetix WS能够通过使用各种编码和目录遍历变体来读取此文件的内容。由发现。
WEB-INFweb.xml配置文件
Tony-Yao46989654的博客
01-05 2565
WEB-INFweb.xml配置文件 <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://x
Web.xml文件详解
热门推荐
顺其自然~专栏
04-21 2万+
1.Web.xml作用 Web.xml是JavaWeb项目中的一个配置文件,主要用于配置首页、Filter、Listener、Servlet等。 tomcat在部署启动web应用时,会解析加载${CATALINA_HOME}/conf目录下所有web应用通用的web.xml,然后解析加载web应用目录中的WEB-INF/web.xml。如果没有WEB-INF/web.xml文件,tomcat会输出找不到的消息,但仍然会部署并使用web应用程序,因此,这个web.xml并不是必要的,不过通常最好还是让每一.
springmvc无法访问/WEB-INF/views下的jsp的解决方法
10-19
在Spring MVC框架中,开发人员通常将JSP页面放置在`/WEB-INF/views`目录下,以增加安全性,因为直接通过URL无法访问这个路径。然而,有时会出现Spring MVC无法正确解析并显示这些JSP页面的问题,导致404错误。本篇...
WEB-INF.zip_.inf ocx
09-14
5. WEB-INF目录:在Web应用程序中,`WEB-INF`目录是一个特殊目录,它包含了web.xmlWeb应用的部署描述符)、类文件和其他资源。在JSP中,如果需要访问服务器端的Java代码,这些代码通常会放在`WEB-INF/classes`或`...
cxf.xml,cxf-servlet.xml,cxf-extension-soap.xml
11-28
<import resource="classpath:META-INF/cxf/cxf.xml"/> <import resource="classpath:META-INF/cxf/cxf-extension-soap.xml"/> <import resource="classpath:META-INF/cxf/cxf-servlet.xml"/>
【jstl】web-inf下的c.tld文件
06-22
JSTL标签所需要的c.tld,放到 WEB-INF,欢迎下载,免费。
Web.xml文件配置详解
KYGALYX的博客
11-23 6778
可有可无,如果在web.xml中不写配置信息,默认的路径是/WEB-INF/applicationContext.xml,在WEB-INF目录下创建的xml文件的名称必须是applicationContext.xml。通常无需重写init()和destroy()两个方法,除非需要在初始化Servlet时,完成某些资源初始化的方法,才考虑重写init()方法,如果重写了init()方法,应在重写该方法的第一行调用super.init(config),该方法将调用HttpServlet的init()方法。
WEB-INF/web.xml泄露总结
王嘟嘟的博客
04-08 1万+
0x00 前言 WEB-INF/web.xml泄露漏洞的一些总结。 参考文章:http://www.anquan.us/static/drops/papers-60.html 0x01 基础知识 https://blog.csdn.net/qq_36869808/article/details/89084412 1.补充知识 Tomcat的WEB-INF目录,每个j2ee的web应用部署文件默认包...
web.xml配置详解
heaveneleven的专栏
07-17 664
引文: 对于一个J2EE领域的程序员而言,基本上每天都会和web应用打交道。 什么是web应用?最简单的web应用什么样?给你一个web应用你该从何入手? 1、什么是web应用?       web应用是一种可以通过Web访问的应用程序。在J2EE领域下,web应用就是遵守基于JAVA技术的一系列标准的应用程序。 2、最简单的web应用什么样?       2个文件夹、1个xml文
WEB-INF/classes/logging.properties
07-27
WEB-INF/classes/logging.properties 是一个 Java Web 应用程序中的配置文件,用于配置日志记录的行为。它通常位于 Web 应用程序的类路径下的 WEB-INF 目录中,用于指定日志记录器的级别、输出目标和格式等。 该文件通常使用属性键值对的形式来配置日志记录器。其中一些常见的配置项包括: - `handlers`:指定日志消息的输出目标,可以是控制台、文件、数据库等。 - `level`:指定日志记录器的级别,如 INFO、DEBUG、ERROR 等。 - `com.example.app.level`:指定特定包或类的日志级别。 - `com.example.app.handler`:指定特定包或类的日志消息输出目标。 - `java.util.logging.ConsoleHandler.level`:指定控制台日志消息的级别。 - `java.util.logging.FileHandler.pattern`:指定文件日志消息的输出格式。 通过编辑 logging.properties 文件,可以根据应用程序的需求来调整日志记录的行为,以便更好地进行故障排除和性能分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值