代码审计之request.getParameter和request.getAttribute

最新推荐文章于 2022-04-11 08:49:51 发布
最新推荐文章于 2022-04-11 08:49:51 发布
阅读量918 收藏 1
点赞数
分类专栏: 代码审计 文章标签: 代码审计 java jsp xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fageweiketang/article/details/99701212
版权
本文介绍了代码审计中遇到的Java Web应用问题,重点讨论了`request.getParameter`和`request.getAttribute`在处理用户输入时可能导致的跨站脚本(XSS)风险。通过实例分析了存储型和反射型XSS的产生,并提醒开发者在使用这些方法时务必对用户数据进行过滤和验证。
摘要由CSDN通过智能技术生成

1,前言

最近审计的java项目基本上都会用到request.getParameter和request.getAttribute,报的问题基本上就一个,就是跨站。

2,介绍

字面理解request.getParameter是获取请求参数,request.getAttribute是获取请求属性。先说request.getParameter,它可以获取get和post提交的参数,跨站问题在于它直接获取了用户可控的某个参数。

存储跨站例如用户更新资料,后台使用request.getParameter获取用户提交的参数然后进行了数据库存储。反射跨站例如搜索功能,页面要显示搜索的关键字,使用了request.getParameter。

这里举一个最简单的反射例子,下面是一个jsp页面,用来获取test参数的值,存储同理。

<%@ page language="java"  contentType="text/html; charset=ISO-8859-1" pageEncoding="ISO-8859-1"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD  HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type"  content="text/html; charset=
最低0.47元/天 解锁文章
aFa攻防实验室
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
request.getAttribute()和 request.getParameter()有何区别?
韩金群的博客
04-02 2254
request.getAttribute()和 request.getParameter()有何区别?
request.getParameter()与request.getAttribute()的区别
最新发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
07-19 5505
Java Web开发中,`HttpServletRequest`对象是一个非常重要的组件,它封装了客户端的请求信息。其中,`getParameter()`和`getAttribute()`是两个常被混淆但又非常重要的方法,它们在数据获取方式、数据传递范围以及数据类型等方面存在显著差异。本文将详细解析这两个方法的区别,帮助开发者更好地理解和使用它们。
request.getParameter() 和request.getAttribute() 区别
weixin_44250725的博客
04-11 1548
一、request.getParameter() 和request.getAttribute() 区别 (1)request.getParameter()取得是通过容器的实现来取得通过类似post,get等方式传入的数据,request.setAttribute()和getAttribute()只是在web容器内部流转,仅仅是请求处理阶段。 (2)request.getParameter()方法传递的数据,会从Web客户端传到Web服务器端,代表HTTP请求数据。request.getParameter
request.getParameterrequest.getAttribute区别
Aquilian的专栏
05-18 398
(1)HttpServletRequest类有setAttribute()方法,而没有setParameter()方法 (2) getParameter()方法获取的是请求链接中的参数值,或者提交表单中的参数值;getAttribute()是从请求域中获取值,这个值是需要先通过setAttribute()设置进去。 ...
request.getAttribute() 和 request.getParameter()的区别
z_6850的博客
11-22 1426
1、request.getParameter()取得是通过容器的实现来取得通过类似post,get等方式传入的数据。 2、getAttribute是返回对象,getParameter返回字符串。 3、getAttribute()一向是和setAttribute()一起使用的,只有先用setAttribute()设置之后,才能够通过getAttribute()来获得值,它们传递的是Object类型的数据。而且必须在同一个request对象中使用才有效。,而getParameter()是接收表单的...
request.getParameter()与request.getAttribute()
qq_45975380的博客
07-01 2965
首先说明:HttpServletRequest类有getParameter(),getAttribute(),setAttribute()等方法,没有setParameter()方法。 1,.request的setAttribute与getAttribute方法一般都是成对出现的,setAttribute方法设置属性与属性值,getAttribute获取属性值,。 request.setAttribute() 和 getAttribute() 方法传递的数据只会存在于Web容器内部,客户端不知道服务器端
request.getParameter()和request.getAttribute()比较
thisIsDennis的博客
06-25 959
getParameter与getAttribute相同点 都是HttpServletRequest类中的方法 都是用来传递数据用的 getParameter与getAttribute不同点 getParameter(): 1.1. 响应的是两个web组件之间为==链接(重定向)==关系时,类似get,post等方式传入的数据。 1.2. 此种方法从Web客户端传到Web服务器端,代表HTTP请求数据。 1.3. 返回String类型的数据。 1.4. 只有get方法没有set方法。 getAtt
解析request.getParameter() 和request.getAttribute() 区别
weixin_51429303的博客
12-08 4522
一、request.getParameter() 和request.getAttribute() 区别 (1)request.getParameter()取得是通过容器的实现来取得通过类似post,get等方式传入的数据,request.setAttribute()和getAttribute()只是在web容器内部流转,仅仅是请求处理阶段。 (2)request.getParameter()方法传递的数据,会从Web客户端传到Web服务器端,代表HTTP请求数据。request.getParameter()
request.getAttribute()和 request.getParameter()有何区别?
qq_44761854的博客
03-14 661
a、request.getParameter()获取的类型是String;request.getAttribute()获取的类型是Object。 b、request.getPrameter()获取的是POST/GET传递的参数值和URL中的参数;request.getAttribute()获取的是对象容器中的数据值/对象。 c、request.setAttribute()和request.getAttribute()可以发送、接收对象;request.getParamter()只能接收字符串,官方不开放re
基于request.getAttributerequest.getParameter的区别详解
09-05
Java Servlet和JSP开发中,`HttpServletRequest`接口提供了两种主要的方法来获取客户端发送到服务器的数据:`getAttribute()`和`getParameter()`。它们虽然都用于获取请求中的数据,但有着本质的区别,下面将详细...
request.getParameter()取值为null的解决方法
10-25
在后台通过Request取值为null,是因为只设置了id属性,而取值候用的是name属性,问题就出现在这里
getAttribute和getParameter区别.
03-13
提供的示例代码似乎与 `getAttribute` 和 `getParameter` 的主题不相关。这段代码是关于事件处理的,具体来说是处理一个文本框(`txtShouMoney`)中的键盘输入事件。其目的是确保文本框中只能输入数字字符,包括...
request请求获取参数的实现方法(post和get两种方式)
11-22
在Servlet中,我们需要使用`doPost()`方法处理POST请求,并调用`request.getParameter()`获取单一值,`request.getParameterValues()`获取多个值: ```java protected void doPost(HttpServletRequest request, ...
SSRF 漏洞记录
发哥微课堂
04-02 10000
0x00:漏洞原理 SSRF(Server-Side Request Forgery)也属于应用层上的一个漏洞类型,用一个最简单的例子来理解这个漏洞:比如一个添加图文的功能,填入标题内容和封面图然后提交在网站前台显示,对于这个功能的图片它除了可以让你上传以外,还支持填入远程图片地址,如果你填入了远程的图片地址,则该网站会加载远程图过来进行显示,而如果程序写法不严谨或者过滤不严格,则加载图片地址的...
XML 注入
发哥微课堂
06-15 8012
0x00:简介 首先先简单的说一下 xml,看一下它的全名称,叫 Xtensible Markup Language,即可扩展的标记语言,可直接理解为内容可自定义扩展,标签可自定义扩展。其实就是一个文本格式的文件,以 xml 结尾,里面的标签内容可以自定义。它具有很清晰的层次结构,便于阅读,经常被用来做配置文件和存储数据。web 中用 xml 格式来传输数据和处理的功能也有很多。而后端没有对 x...
IMAP/SMTP 注入
发哥微课堂
07-01 3881
0x00:介绍 IMAP 就是 Internet Mail Access Protocol 的缩写翻译来就是邮件访问协议,也就是用来收邮件的(和它类似的还有个 POP3,也是用来收邮件的)。SMTP 就是 Simple Mail Transfer Protocol 的缩写翻译来就是邮件传输协议,也就是用来发邮件的。 IMAP/SMTP 注入也就是收邮件发邮件的注入,有很多类似于这样的功能,例如...
ORM 注入
发哥微课堂
06-06 3271
0x00:介绍 ORM 注入是 Object Relational Mapping 的缩写,翻译过来就是对象关系映射。ORM 是写程序时的一种写法,以前写程序查数据库的时候都是代码加 sql 语句写到一起,程序庞大后就很难管理,很难维护。后来就把程序和 sql 语句分开了。同时 ORM 把 sql 的写法进行了封装,程序调用更为方便,能让程序员真正的去关注逻辑层代码,去面向对象编程。 0x01...
request.getAttribute()和 request.getParameter()
07-28
request.getAttribute()和request.getParameter()是Java Servlet中的两种不同的方法,用于从HTTP请求中获取数据。 request.getAttribute()方法用于从请求中获取服务器端保存的数据。这些数据通常是在服务器端的其他组件(如Servlet、JSP等)中设置的,并且可以在请求的整个生命周期内共享。通过使用该方法,可以获取在请求处理过程中传递的数据,比如在请求转发或包含其他组件时使用。 request.getParameter()方法用于从请求中获取客户端提交的参数值。这些参数通常是通过HTTP请求的URL查询字符串或表单提交的数据传递给服务器端。通过使用该方法,可以获取客户端提交的各种数据,如表单字段、URL查询参数等。 需要注意的是,getAttribute()方法返回的是一个Object类型的对象,而getParameter()方法返回的是一个String类型的对象。此外,getAttribute()方法适用于获取服务器端保存的数据,而getParameter()方法适用于获取客户端提交的参数值。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值