代码审计之JSP使用HTML注释

最新推荐文章于 2021-09-14 11:00:27 发布
最新推荐文章于 2021-09-14 11:00:27 发布
阅读量351 收藏
点赞数
分类专栏: 代码审计 文章标签: jsp html 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fageweiketang/article/details/99977208
版权
本文探讨了在JSP文件中使用HTML注释而非JSP自身的<%-- --%>注释的问题。虽然HTML注释在页面上不可见,但其内容在源码中可被查看,可能导致信息泄露。作者建议开发者应避免在JSP中使用HTML注释以提高代码质量。
摘要由CSDN通过智能技术生成

 

0x00:介绍

这个问题很简单,甚至不算问题,可以把它归类到代码质量类。该问题顾名思义,即在JSP文件中使用了HTML注释。JSP的注释为<%-- --%>,HTML注释为<!-- -->。而JSP中除了本身注释外,HTML注释同样有效。

但也有区别之分,区别在于,JSP本身的注释内容我们右键源码是查看不到的,而JSP中使用HTML注释后,右键源码可查看注释内容。危害点和信息泄露属于一类,恶意攻击者可通过注释搜集有关程序的信息

0x01:试验

以上介绍已经说明清楚,这里我们直接贴图看对比,JSP使用HTML注释的源码及效果图如下。

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Con
最低0.47元/天 解锁文章
aFa攻防实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计前置知识——SpringMVC基础
m0_61506558的博客
10-25 462
Model2这样不仅提高的代码的复用率与项目的扩展性,且大大降低了项目的维护成本。Model 1模式的实现比较简单,适用于快速开发小规模项目,Model1中JSP页面身兼View和Controller两种角色,将控制逻辑和表现逻辑混杂在一起,从而导致代码的重用性非常低,增加了应用的扩展性和维护的难度。Model2消除了Model1的缺点。1.4 回顾ServletSpring MVC是Spring Framework的一部分,是基于Java实现MVC的轻量级Web框架轻量级,简单易学。
Java代码审计前置知识——SpringBoot基础
最新发布
m0_61506558的博客
10-29 1109
(一)SpringBoot简介(一)SpringBoot简介1.1 回顾什么是SpringSpring是一个开源框架,2003 年兴起的一个轻量级的Java 开发框架,作者:Rod Johnson。1.2 Spring是如何简化Java开发的为了降低Java开发的复杂性,Spring采用了以下4种关键策略:1、基于POJO的轻量级和最小侵入性编程,所有东西都是bean;2、通过IOC,依赖注入(DI)和面向接口实现松耦合;3、基于切面(AOP)和惯例进行声明式编程;
JSP代码审计】从代码审计的角度看系统接口的安全性
FHGFHFYUUGY的博客
05-17 668
0x00 前言 代码审计的系统为某计费系统,本着学习交流的态度对本系统进行了审计,在审计过程中发现了诸多安全问题,本文在此列出几项比较经典的漏洞。在此感谢花茶安全团队的天堂空气提供的源码。 0x01 XSS漏洞 在路由userdatachange中存在XSS漏洞,此路由为用户资料修改页面,在此路由中,并不存在XSS漏洞,原因是该系统存在XSS过滤器,但是并不会影响我们保存在数据库中的数据,此...
jsphtml注释特点,JSP注释分类及声明应用浅谈
weixin_42191440的博客
06-08 2310
JSP注释常用的有两种:HTML注释和隐藏注释(JSP注释),那么他们又有什么格式上的要求和特点呢?来开始我们的介绍吧:◆HTML 注释:说明:能在客户端显示的一个注释,标记内的所有JSP脚本元素、指令和动作正常执行,也就是说编译器会扫描注释内的代码行。语法:例1﹤!-- This file displays the user's information --﹥在客户端的HTML源代码中产生和上面...
jsphtml代码间写注释,如何注释jsp中的表达式,如何使用htmljsp方法注释和编译...
weixin_35664081的博客
05-31 312
如何注释jsp中的表达式,使用htmljsp方法注释和编译所有错误Thisisthefirstpage.例如,如果添加->,则此注释将编译jsp注释代码,如果删除并编译,则该注释将通过. 我的评论错了吗? p>------解决方案--------------------------解决方案--------------------这是jsp文件的注释,当浏览器查看源文件时将...
java代码审计--jsp基础学习
goddemon
09-14 491
jsp语法动作内容 一.jsp生命周期 二.jsp语法 1.<% %>#语句类写的地方,常规写的地方 2.<%! %>#变量定义的地方 如<%! int i = 0; %> 3.<%= %>#表达式 #如获取当前的日期 <%= (new java.util.Date()).toLocaleString()%> 4.注释 <!-- --> <%-- --%> 三.jsp指令与动作元素 3.1 三大典型指令 jsp语法
JSP注释常用的有两种:HTML注释和隐藏注释JSP专有注释
chengp919的博客
09-11 3986
HTML 注释 注释说明:能在客户端显示的一个注释,标记内的所有JSP脚本元素、指令和动作正常执行,也就是说编译器会扫描注释内的代码。 HTML语法: 语法示例: 例1 在客户端的HTML源代码中产生和上面一样的数据; 例2 --> 在客户端的HTML源代码中显示为: 小结:可以在注释使用任何有
代码审计-dubbo admin <=2.6.1远程命令执行漏洞
weixin_47208161的博客
02-12 6225
前置输入材料安全目标和需求架构分析供应链安全源代码审查依赖结构矩阵(Dependency Structure Matrices,DSM)数据流信任边界数据存贮威胁列表otter mana...
jsp java片段_阅读下面JSP代码片段: <%@ page language="java" contentType="text/html; charset=UTF-8" buffer=”none...
weixin_33483080的博客
02-28 1263
【多选题】你爱吃下列哪些水果【单选题】下列( )是对主营业务收入进行的实质性审查。【判断题】EL表达式中的隐式对象与JSP中的隐式对象除了pageContext对象是它们共有的,其它隐式对象则毫不相关。【单选题】阅读下面代码片段: 当使用浏览器访问该jsp页面时会什么结果( )【名词解释】信息【单选题】将jsp翻译成的Servlet源码后,用户访问JSP文件时会被调用的方法是()【名词解释...
jsp注释html注释
wangyanming123的博客
06-07 1065
jsp注释html注释
HTML注释JSP注释
小菜鸟
01-06 4971
一篇简单的小博客 HTML注释 HTML注释语言不会被显示在网页,但是在浏览器中选择查看网页源代码时还是会被看到。 单行注释 //注释内容 带有JSP表达式的注释 单行注释 &lt;% int i,n;//定义两个int类型的数; int m=1; for(i=1;i&lt;100;i++) { m=m+1; for(n=2;n&lt;i;n++) { if(...
jsp网上书店代码_代码审计 | Wavsep靶场审计防御
weixin_39590868的博客
12-06 187
—————— 昨日回顾 —————— 红日安全出品|转载请注明来源文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全)代码审计 | zzcms8.2—————— —————— —————(点击上方文字可直接阅读哦)1.1 基于wavsep靶场的jsp代码审计防御本次实验是基于wavsep进行设计,因此我们...
代码审计
tryheart的博客
09-19 803
代码审计 检查源代码中的安全缺陷、编码不规范的地方。 通过自动化工具或人工审查的方式,对程序源代码逐条进行检查和分析,发现这些代码缺陷引发的安全问题,并提供修订措施和建议 代码审计的对象包括并不限于JAVA、C、C#、ASP、PHP、JSP、JS 审计包括 前后台分离的运行架构 WEB服务的目录权限 认证会话与应用平台的结合 数据库的配置规范 SQL语句的编写规范 WEB服务的权限配置 对抗爬虫引擎的处理措施 常见高风险漏洞 非边界检查函数可能导致缓冲区溢出漏洞 可能干扰后续检查的缓存区的指针操作 调用类似
jsp注释html注释区别,jsp注释html注释的区别
weixin_28703507的博客
06-24 1031
jsp注释html注释的区别 (7页) 本资源提供全文预览,点击全文预览即可全文预览,如果喜欢文档就下载吧,查找使用更方便哦!8.90 积分JSP 注释HTML 注释的区别: HTML 注释是可以发送到客户端且在客户端可见的注释JSP 注释只存在于服务器端在客 户端不可见的注释。JSP引擎对 HTML 注释不做任何解释直接发送到客户端,所以在客 户端可见,而 JSP 注释是写在 JSP ...
JSP中的注释注意事项
Vanessa_Li的博客
10-12 1476
JSP中的注释主要分为三类:HTML注释JSP注释,脚本中使用Java注释。 1.HTML注释 格式: 特点:客户端可以查看到,当打开网页查看源代码时,都可以看到JSP代码中的HTML注释。它们会原封不动的加载到JSP响应中,一起生成HTML代码,然后发送给浏览器。虽然浏览器会负责忽略HTML注释,但当HTML注释中包含着动态内容代码,JSP表达式将会被执行并给浏览器响应。因为HTML注释
代码审计:审计思路之实例解说全文通读
weixin_33894992的博客
11-26 281
2019独角兽企业重金招聘Python工程师标准>>> ...
代码审计jsp+servlet模式从客户端接收参数的函数大全
nextdoor6的博客
06-24 1244
在java代码审计的过程中,jsp+servlet架构的形式是我们学习javaweb开发的基础,虽然它不如SpringMVC框架流行,但是 在view层的处理还大多依赖于jspjsp作为用户和服务器操作数据的入口,我们总结一下jsp的输入函数还是十分必要的。 安全的威胁也是主要来自于客户端的输入,如果我们对客户端的数据数据在后台有严格的校验,那么我们也就能更深层次的保护 我们的网站安全。在
SpringBoot 中 JSPHTML的简单使用
woongcha的博客
06-26 865
SpringBoot 中 JSPHTML的简单使用 JSP 在pom文件中引入相应的依赖 <!-- web --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- 整合JSP --&g
JSP基础:HTML注释与表达式使用详解
- 使用`<%-- comment --%>`语法,这部分内容在编译JSP时会被JSP引擎忽略,不会出现在最终生成的HTML中,适合用来注释或隐藏代码。如例: ```jsp ... ``` - 隐藏注释中的文本不会显示在浏览器源代码视图中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值