DWR高级主题之DWR安全机制

最新推荐文章于 2024-08-19 10:58:29 发布
最新推荐文章于 2024-08-19 10:58:29 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: DWR 文章标签: dwr servlet javascript include delete encoding
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fhd001/article/details/7086984
版权
本文介绍了DWR框架中关于安全机制的主题,指出默认情况下所有授权类的方法都可远程调用,这可能存在安全隐患。为了增强安全性,可以使用<exclude>或<include>元素来指定允许或禁止远程调用的方法,确保敏感操作如divide()不被远程访问。
摘要由CSDN通过智能技术生成
DWR高级主题之DWR安全机制
----------
很多其他Ajax工具对安全性考虑不够,让你直面安全威胁。DWR提供一些安全机制,你也许会发现它非常适合自己的需求。DWR使用多层安全保障方法,但是,至少有一个机制必须始终启用。

1. 默认拒绝
无须做任何设置,DWR会自动采用"默认拒绝"方法。这意味着, 在默认情况下,DWR不允许任何类被远程访问。回想一下希望远程访问的每个类,必须在配置文件中添加 <create>元素。这个<create>元素还应该被嵌套在 <allow>元素中。通过添加这种信息条目,可以告诉DWR,指定类的远程调用被授权了。但是,如果没有在这个配置文件中添加相应的信息条目,则远程调用会被禁止。

读者肯定会认识到,这种措施实际上还存在一个潜在的安全漏洞:在默认情况下,被授权类的所有方法都可以通过远程调用来访问。在通常情况下,这样做就可以了,因为我们平常的代码组织习惯是一个类始终包含可以远程调用的所有"安全"方法。其实,我们也可以这样设计,类中部分方法可以安全地远程调用,部分方法不允许远程调用。如例,我们不希望远程调用divide()方法。我们可以简单地添加一个<exclude>元素。现在,存在一个<exclude>元素和一个<create>元素的子元素<include>元素这两个元素是互斥的也就是说,可以使用<include>元素来指定能够远程调用的方法列表(没有列出来的方法都是不可以远程调用的),或者使用<exclude>元素来指定不允许远程调用的方法列表(没有列出来的任何方法都是可以访问的)

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE dwr PUBLIC
最低0.47元/天 解锁文章
fhd001
关注
专栏目录
java dwr 漏洞_实战渗透-基于DWR框架下的漏洞探测
weixin_34878397的博客
02-26 4748
前言未经授权,禁止转载!0x01前段时间,在对某站群系统进行代码审计时,发现某处DWR-AJAX接口存在文件上传漏洞代码层:public String upload(InputStream is, String fileName) {String fileUploadPath = getFileUploadPath();String file = String.valueOf(fileUpload...
DWR3.0框架入门(2) —— DWR的服务器推送
weixin_34102807的博客
11-25 164
2019独角兽企业重金招聘Python工程师标准>>> ...
某框架路由渗透
最新发布
2401_83799022的博客
08-19 506
某天在互联网平台上看待DWR路由的文章,然后去搜索了一下相关的信息,发现该DWR路由技术挺久远的,因此就简单的学习了一下该路由,然后发现该DWR路由也可能存在漏洞点,因此找了某站进行测试看看是否有无啥收获,结果不负众望,还是有那么一点收获。话不多说,进入正题吧。当我们找到这种网站的时候我们根据上述DWR路由介绍所说的可以发现个别路由存在参数的,因此这就是我们的首要目标,当然也不是说其它的路由无参数量就没有其它用处了,据互联网上某大佬的文章可以发现访问无参数路由直接泄露敏感信息,发现smtp配置信息。
DWR安全
john521
04-30 288
DWR安全性 在使用 DWR 时要明确哪些类和方法是可以被远程调用的。dwr.xml 要求为每一个远程类定义一个 create 项。还可以通过指定 include 和 exclude 元素控制远程调用 Bean 中可以被调用的方法,而不是把所有的方法都暴露给服务器端。除此之外,如果要 DWR 在转换 JavaBean 到 Javascript 时有一定限制,可以控制哪些 bean 的属性可...
DWR安全方面(网摘)
Ghosthuo的专栏
12-17 2048
安全我们很谨慎的对待DWR安全问题,并且认为有必要解释一下避免错误要做的事情。 首先DWR让你明确哪些是被远程调用的,是如何被远程调用。原则就是DWR必须调用那些你明确允许的代码。 dwr.xml要求你为每一个远程类定义一个create项。你还可以通过指定include和exclude元素来更精确的控制远程调用Bean中可以被调用的方法。 除此之外如果你希望允许DWR在转换你的J
关于dwr安全性问题
持续改进
07-04 1214
在一些网站中,我们虽然使用了AJAX,但是我们并不希望用户能够私自调用这些AJAX,因为有些AJAX调用包含对数据的更新操作,即使是只读的操作,也不希望用户能在本地进行直接调用。 在 Michael Chen 的这篇文章中 [url]http://michael.nona.name/archives/142[/url] ,提及了ajax应用中的安全问题,并且给出了一个临时的解决方案。虽然我...
dwr安全错误
janckywong963的专栏
12-09 167
[url]http://hi.baidu.com/fququ/blog/item/586437a4979e4ff29052ee95.html[/url] DWR 2.0 ajax 使用总结 从网上查了N多资料也没把dwr 配置成功.以下是从失败中成功总结出来的可应用的dwr2.0 使 1,dwr.xml文件: ...
dwr出现“拒绝访问“问题
村长Korbin
04-16 2065
出现原因: 爱多网(www.looooove.com)由于更换过服务器,并由于当时的程序员对网站制作并不精通,所有路径都用绝对路径,表现在: 1、"> 2、/dwr/util.js"> /dwr/engine.js"> 3、首页 等,而更换服务器之前的basePath是http://www.looooove.co
dwr.rar_dwr_dwr tutorial
09-21
DWR提供了安全性设置,如白名单机制,确保只有预定义的Java方法可以从客户端调用,防止非法访问。此外,它还支持CSRF(跨站请求伪造)防护。 **5. 实战应用:** 在实际项目中,DWR可以用于实现各种功能,例如: - *...
DWR3.0.jar、DWR.war和DWR2.0中文说明文档
09-16
Direct Web Remoting (DWR) 是一个开源的Java库,允许Web应用程序在浏览器和服务器之间进行实时通信,绕过...此外,随着技术的发展,DWR可能不再是最新的工具,但了解其工作原理对理解Web通信的底层机制仍然有价值。
DWR(Direct Web Remoting)介绍
07-20
DWR 是一个开放源码的使用 Apache 许可协议的解决方案,它包含服务器端 Java 库、一个 DWR servlet 以及 JavaScript 库。虽然 DWR 不是 Java 平台上唯一可用的 Ajax-RPC 工具包,但是它是最成熟的,而且提供了许多有用的功能
DWR数据推送封装的demo
07-24
这种模式类似于传统的Ajax轮询,但DWR提供了更高级的实现,可以降低网络开销和提高效率。 2. **Reverse Ajax** 或 **Push**:服务器主动将数据推送到客户端,无需客户端发起请求。当服务器端数据发生变化时,DWR...
dwr如何使用
03-20
Direct Web Remoting (DWR) 是一种开源的Java库,它允许JavaScript在浏览器端与服务器端的Java代码进行...在实际项目中,结合DWR高级特性,如异步调用、安全配置和性能优化,可以大大提高开发效率并提升用户体验。
DWR安全问题
收集盒 Book box
12-15 6688
作者 -- Ends 昨天测试某系统没有发现比较严重的问题,从数据包中发现了dwr接口,尝试下XSS返回为text/plain。查看官方对DWR Security的说明(http://directwebremoting.org/dwr/security/index.html)也是说XSS、CSRF的。如果接口中包含上传功能,应该和webservice类似吧,还没有利用成功过。
51dwr - 安全
阿甘兄
04-29 325
我们很谨慎的对待 DWR安全问题,并且认为有必要解释一下避免错误要做的事情。 首先 DWR 让你明确哪些是被远程调用的,是如何被远程调用。原则就是 DWR 必须调用那些你明确允许的代码。 dwr.xml 要求你为每一个远程类定义一个’create’项。你还可以通过指定 include 和 exclude 元素来更精确的控制远程调用 Bean 中可以被调用的方法。 除此之外如果你希望允许 DWR...
java dwr 漏洞_DWR异常情况处理常见方法解析
weixin_42346710的博客
02-26 1031
在本次项目中,由于时间紧张直接使用DWR做Ajax请求!要求的是动态展示,那就需要使用DWR轮询请求,但是需要做异常情况下的一些处理!特别是DWR在遇到异常后,后台不报错,前台也只提示一个 Error !如果是轮询的话,那么就一直弹出 Error ,那谁收到了呀!对于DWR异常的处理,网上一大片都是这样说的,在DWR配置中增加一个转换器,将异常转换为一般异常,这样在前台就不是提示 Error,而是...
java sql注入包_SQL注入漏洞-Java
weixin_42160278的博客
02-24 192
这个是常见的漏洞了,相信大家都不陌生,直接上解决该漏洞的代码package com.ifan.soft.filter;import java.io.IOException;import java.text.SimpleDateFormat;import java.util.Date;import javax.servlet.Filter;import javax.servlet.FilterCh...
java dwr 漏洞_Java DWR内存泄漏问题解决方案
weixin_28685287的博客
02-26 606
机器跑了一晚上,发现有崩溃现象,由于页面内有动态绘图功能,我怀疑是绘图原因,但是今天上午有人提醒我才想到,是不是间隔调用时DWR产生了内存泄漏问题?网上查了一下貌似大家都在讨论这个问题,之前我也挺老手说过DWR有内存问题,可是没有遇到过。原来DWR在间隔调用这种情况下有问题!按照大家的说法,修改engine.js配置文件来解决问题,目前我也修改了一下,修改方法如下:在dwr.engine._se...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值