使用Struts/Servlet开发项目的安全注意点!

最新推荐文章于 2022-04-22 22:00:55 发布
最新推荐文章于 2022-04-22 22:00:55 发布
阅读量117 收藏
点赞数
分类专栏: 项目安全性 文章标签: Servlet Struts 框架 PHP Web
涉及程序:
Stinger

描述:
OWASP Stinger绕过servlet输入验证过滤漏洞

详细:
Stinger是开放Web应用安全项目(OWASP)所开发的servlet过滤器,用于提供对用户请求提供集中的输入验证。

OWASP Stinger多部分编码的数据时存在漏洞,远程攻击者可能利用此漏洞绕过数据过滤。 网管联盟bitsCN_com

OWASP Stinger假设所传送的请求内容都是form-urlencode编码的,如果应用程序使用的框架从HTTP协议获取内容并自动处理和解析请求的话,这种假设就会导致在向目标应用传输请求期间绕过Stinger过滤。


以下Stinger代码段说明了这个问题(Stinger.java):private int checkMalformedParameters(...) {


...
e = request.getParameterNames();
while(e.hasMoreElements()) {
...
}
...
}


如果HTTP请求内容是form-urlencode编码的话,request.getParameterNames()就会返回所有HTTP参数名的枚举。但是,如果请求为多部编码的话,所返回的枚举就会为空,e.hasMoreElements()会返回false,这会导致Stinger没有对多部编码的HTTP请求执行任何输入验证。

[b]如果目标应用程序为纯servlet应用程序的话,Request.getParameter()调用不会返回多部编码的HTTP参数[/b],但Struts之类的框架从应用程序获取HTTP详细信息并自动解析HTTP请求,包括多部编码的请求,然后将多部请求中所提供的输入参数传送给应用程序,而不会考虑参数是通过多部请求提供的还是正常form-urlencode编码请求提供的。由于Stinger没有对多部请求执行任何验证,因此可能会向应用程序提供未转义的和未经验证的数据,导致跨站脚本或SQL注入之类的攻击。


<*来源:Meder Kydyraliev (bugtraq@web.areopag.net)
链接:http://marc.info/?l=bugtraq&m=118702576902962&w=2
*>


受影响系统:
OWASP Stinger
不受影响系统:
OWASP Stinger 2.5


攻击方法:
警 告


以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

http://o0o.nu/~meder/toolz/Multipartify.txt


解决方案:

厂商补丁:
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:


https://www.owasp.org/index.php/Image:Stinger-2.5.jar
【转自www.bitsCN.com】
iteye_18970
关注
专栏目录
servletstruts2笔记
07-17
### servletstruts2笔记 #### 一、Servlet 基础 **Servlet** 是 Java Web 开发中的一种核心技术,它被设计用于处理客户端发送到服务器的 HTTP 请求,并且能够生成响应。Servlet 可以看作是服务器端的小程序,...
java上传与下载——struts2和servlet案例
05-09
在Java Web开发中,文件上传和下载是常见的功能需求,特别是在构建交互性强的Web应用程序时。...记得在实践过程中,注意错误处理、文件安全和性能优化等方面,这些都是在开发实际应用时不可或缺的部分。
struts2开发注意事项
光线技术博客
09-06 379
我有一个index.jsp ,  是全部的首页, 内容如下 : Jsp代码   "java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>   "/home.action" />    用于, 转发到 home.action  , 可就是不管用, 怎么也转发不过去,  网上找了一下,解
OSWAF 的JavaEE实现
GG 的专栏
02-29 1637
软件waf实现开源标准oswaf协议: https://www.owasp.org/index.php/Category:OWASP_Stinger_Project 基于java EE实现oswaf: https://www.owasp.org/index.php/How_to_Build_an_HTTP_Request_Validation_Engine_for_Your_J2
使用JSP/Servlet技术开发新闻发布系统
ljh_learn_from_base的博客
05-30 1万+
第一章:动态网页开发基础  动态网页:是指在服务器端运行的,使用程序语言设计的交互式网页,它们会根据某种条件的变化,返回不同的网页内容 动态网页需要使用服务器端的脚本语言,例如:JSP技术就是使用Java+HTML 动态网页的优势: 1:交互性:       网页会根据用户的要求和选择而动态改变和显示内容 2:自动更新:       无须改变页面代码,便会自动生成新的页面
jsp/servlet/struts/hibernate/spring内部实现机制
Hello World!
11-12 1万+
jsp原理 一、JSP工作原理 JSP程序需要运行于特定的Web服务器中,例如Tomcat/WebLogic等。所有JSP文件,在执行的时候都会被服务器端的JSP引擎转换为Servlet程序(Java源文件),然后调用Java编译器将Servlet程序编译为class文件(字节码文件),并由Java虚拟机(JVM)解释执行。JSP的运行原理如图所示: 在一个JSP文件第一次被请求时,JS
strutsservlet的区别和联系
释迦不加糖、
05-02 3727
struts2.0中,可以通过ServletActionContext.getRequest()获取request对象。  在action的方法中return一个字符串,该字符串对应struts.xml中的result标签的name相同,result标签中包含的就是跳转页面,  其原理,我的理解是这样的:  一.客户端提起一个(HttpServletRequest)请求,如上文在浏览器中输
springmvc、struts2、servlet的联系与区别
aiwokache的博客
11-19 1150
servlet运行流程 图1 - servlet运行详解(下) - dainnerservlet生命周期 图1 - servlet生命周期(五) - dainner 三 cookie 图1 - cookie的使用细节 - dainner 三 session 图1 - 比较cookie和session - dainner ...
Struts2-S2-016/17
aming小老弟
04-18 1190
QQ 1285575001 Wechat M010527 技术交流 QQ群599020441 纪年科技aming #前文# 通过该实验了解java开发流行框架struts2安全缺陷形成的原因, 掌握基本的漏洞利用及使用方法, 并能够通过代码审计给出加固方案。 #基础知识# 了解Struts2 Struts是Apache软件基金会赞助的一个Java开源项目, 通过采用JavaServlet/JSP技术, 实现了基于Java EE Web应用的MVC设计模式的应用框架, 是MVC经典设计模式中的一个..
Servlet/JSP、Struts1、Struts2以及SpringMVC的线程安全
that_is_cool的博客
05-29 641
Servlet/JSP、Struts1、Struts2以及SpringMVC的线程安全性    一、Servlet/JSP    Servlet/JSP一直都是MVC界的老大哥,我们来回顾一下Servlet的生命周期。    当客户端第一次请求Servlet时,Web容器会根据web.xml中的配置文件创建一个Servlet实例,而后调用init()方法,仅一次(注意);之后每一次请求都会执行Se...
一、Struts基本介绍和使用
热门推荐
也许是我送你哦
04-22 4万+
Struts的几个基本概念 1.struts是一个框架(frameset) 2.struts是一个web框架 3.框架提高了程序的规范同时,也约束了程序员的自由 4.struts是一个开源框架 Struts为什么有? struts的好处: 程序更加规范化 程序开发的效率提高了 程序的可读性增加 程序的可维护性增加了 struts的不足之处: 1.form表单有鸡肋 2.action是单态(对网站...
JavaWeb项目实战一(Servlet+Jsp项目项目搭建及登录界面)
Love&Share
04-22 1万+
之前 JavaWeb 学的不是太好,准备从下边列的三个发展阶段,每个阶段以项目形式去补充基础 JavaWeb 发展阶段: Servlet + Jsp SSM:SpringMVC + Spring + MyBatis 其实在中间阶段还存在 SSH(Struts + Spring + Hibernate),SSM 框架其实就是用: SpringMVC 可以完全替代 Struts,配合注解的方式,编程非常快捷,而且通过 restful 风格定义 url,让地址看起来非常优雅 MyBatis 替换 Hib.
servlet AND Struts2笔记
07-17
### servletStruts2知识梳理 #### 一、Servlet基础概念及实现方式 - **Servlet定义**:Servlet是一种运行在服务器端的小程序,用于处理客户端发送的HTTP请求,并生成相应的HTTP响应。它属于动态资源,可以被多...
使用了2年Struts开发项目后的总结
07-26
在我两年的Struts开发经验中,我发现它在处理业务逻辑、控制流程以及与视图层交互方面表现出色,但也有一些挑战和需要注意的地方。 首先,Struts提供了强大的动作调度机制,通过Action类来处理HTTP请求。每个Action...
基于Struts2的留言板系统.zip
03-25
开发者还需要注意输入验证和安全编码。 12. **测试**: 使用JUnit等单元测试工具对Action类进行测试,确保业务逻辑的正确性。Struts2也支持Mock测试,模拟请求来测试Action的响应。 13. **部署与运行**: 最后,将...
一个基于健身的社交App,内含跑步轨迹绘制,数据可视化展示,即时通讯,看新闻等模块(毕设&课设&实训&大作业&竞赛&项目)
09-20
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全领域),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(如有)等。答辩评审平均分达到96分,放心下载使用!可轻松复现,设计报告也可借鉴此项目,该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 【提供帮助】:有任何使用问题欢迎随时与我联系,我会及时解答解惑,提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【项目价值】:可用在相关项目设计中,皆可应用在项目、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面,可借鉴此优质项目实现复刻,设计报告也可借鉴此项目,也可基于此项目来扩展开发出更多功能 下载后请首先打开README文件(如有),项目工程可直接复现复刻,如果基础还行,也可在此程序基础上进行修改,以实现其它功能。供开源学习/技术交流/学习参考,勿用于商业用途。质量优质,放心下载使用
java基于ssm+jsp山东红色旅游信息管理系统源码 带毕业论文
最新发布
09-20
【资源说明】 1、开发环境:ssm框架;内含Mysql数据库;JSP技术 2、项目代码都经过严格调试,代码没有任何bug!下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 4、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
vue+SpringBoot743基于Java的中珠商城仓库管理系统java毕业设计源码含论文.rar
09-20
jdk版本:jdk1.8+ 前端:vue.js+ElementUI 开发工具:IDEA 或者eclipse都支持 编程语言: java 框架支持:springboot 数据库: mysql 版本不限 数据库工具:Navicat/SQLyog都可以 详细技术:java+springboot+vue+MYSQL+MAVEN 前端采用的Vue框架,后端采用java语言,sprinboot框架,mybatis操作数据源,使用软件:idea,eclipse、MySQL。完成了用户登录管理等模块的设计与实现。完成了系统数据库的设计,并基于MySQL数据库管理系统
ASP网络办公助理设计(论文+源代码).zip
09-20
1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。、可私 6信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 、可私信6博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 、可私信6博主看论文后选择购买源代码。
SSH2开发Struts+Spring+Hibernate CRUD项目构建与功能实现
本教程详细介绍了如何使用SSH框架Struts、Spring和Hibernate)进行一个综合的用户管理项目开发过程,适用于院校教学服务部的教学实践。首先,我们将创建一个新的Web项目,命名为"ssh2",并选择JavaEE5.0规格,这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值