DWR安全性疑问描述

最新推荐文章于 2022-01-03 09:04:00 发布
最新推荐文章于 2022-01-03 09:04:00 发布
阅读量105 收藏
点赞数
分类专栏: 学习笔记 文章标签: DWR JavaScript 框架 工作 C ViewUI

背景前提:

针对UserRemote这个远程调用

其中有两个方法:

deleteUserexistsUserID

都是可供远程调用的。

 

问题描述:

假如某个页面只需要用到existsUserID来判断用户是否存在,那么就一定有调用deleteUser来删除用户的能力,这显然是不安全的。

 

举例:

1)        某用户登录后输入url可以到达填写信息的页面

2)       
 这里会调用existsUserID

因此引用js文件

<script src='<c:url value='/dwr/interface/UserRemote.js'/>'></script>

3)        在地址栏中输入

javascript:UserRemote.deleteUser(75,function(date){alert(date);});

4)        这样意味着一个普通用户也能执行删除别的用户的操作

 

解决方案:

因为dwr不能(或者是我不知道)获取Session,难以做权限判断,而且在业务层也不应该做过多不纯粹的工作,应该交由框架级的拦截器做这个权限工作。

iteye_20799
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java dwr 漏洞_实战渗透-基于DWR框架下的漏洞探测
weixin_34878397的博客
02-26 4669
前言未经授权,禁止转载!0x01前段时间,在对某站群系统进行代码审计时,发现某处DWR-AJAX接口存在文件上传漏洞代码层:public String upload(InputStream is, String fileName) {String fileUploadPath = getFileUploadPath();String file = String.valueOf(fileUpload...
DWR安全性_Len_qin_新浪博客
Allen_qin的博客
12-11 101
前段时间将自己的应用也搭建了DWR框架,这东西确实很好用,它给java与web的交互提供了很好的解决方案,在ajax基础上做了不错的扩展。开发人员只需简单配置下配置文件,web端引用自动生成的JS,就可以实现像写java代码一样做界面操作。 关于它的安全性,是大家一直最关心的。从实践过程中,让我知道,大家对这个框架存在着误区。所谓安全性,不是权限外的用户操作 权限内的操作,因为这个是属...
DWR安全方面(网摘)
Ghosthuo的专栏
12-17 2037
安全我们很谨慎的对待DWR的安全问题,并且认为有必要解释一下避免错误要做的事情。 首先DWR让你明确哪些是被远程调用的,是如何被远程调用。原则就是DWR必须调用那些你明确允许的代码。 dwr.xml要求你为每一个远程类定义一个create项。你还可以通过指定include和exclude元素来更精确的控制远程调用Bean中可以被调用的方法。 除此之外如果你希望允许DWR在转换你的J
关于dwr安全性问题
持续改进
07-04 1206
在一些网站中,我们虽然使用了AJAX,但是我们并不希望用户能够私自调用这些AJAX,因为有些AJAX调用会包含对数据的更新操作,即使是只读的操作,也不希望用户能在本地进行直接调用。 在 Michael Chen 的这篇文章中 [url]http://michael.nona.name/archives/142[/url] ,提及了ajax应用中的安全问题,并且给出了一个临时的解决方案。虽然我...
关于DWR与Servlet、安全
像一颗晨土
05-10 398
使用DWR做Remote,完全绕过传统的MVC框架,如Struts、Webwork,单用一个DWRServlet来做控制器。DWR向客户端 暴露了服务端的服务接口,很有可能有没有任何限制的情况下被客户端调用所暴露的接口。如果使用传统的MVC框架,可以很方便地解决很多问题诸如身份验证、 权限控制等。而DWR提供的功能是给客户端暴露服务接口。上面所涉及的问题却少有牵涉。不过,解决方案还是有的。其中之一...
DWR.rar_dwr
09-23
1. **安全性**: DWR提供了一些安全特性,如白名单机制,防止非法的Java方法被调用。此外,还可以通过配置限制并发请求的数量,防止DoS攻击。 2. **性能优化**: DWR支持缓存,可以减少不必要的服务器通信;另外,...
dwr.rar_dwr
最新发布
09-24
DWR的应用中,通常会创建一个`dwr.xml`配置文件,用于配置DWR引擎的行为,比如哪些Java类可以被远程访问,以及相关的安全性设置。此外,DWR提供了JavaScript库,通过这些库,前端开发者可以直接在JavaScript中调用...
buffalo dwr漏洞
weixin_33984032的博客
10-15 284
在编写java代码的时候,我们可能经常使用buffalo实现AJAX的调用,将一个java代码直接发布成可以js可远程调用的 方法,在得到方便的同时,可能我们忽略了安全问题,如果java代码不是读取数据那么简单,而是删除,更新数据库 或者文件操作的方法。 黑客就很有可能通过如下代码进行攻击,想想如果该方法是个删除关键数据的操作,那就危险了。 public static void...
java dwr 漏洞_DWR异常情况处理常见方法解析
weixin_42346710的博客
02-26 972
在本次项目中,由于时间紧张直接使用DWRAjax请求!要求的是动态展示,那就需要使用DWR轮询请求,但是需要做异常情况下的一些处理!特别是DWR在遇到异常后,后台不报错,前台也只提示一个 Error !如果是轮询的话,那么就一直弹出 Error ,那谁收到了呀!对于DWR异常的处理,网上一大片都是这样说的,在DWR配置中增加一个转换器,将异常转换为一般异常,这样在前台就不是提示 Error,而是...
java sql注入包_SQL注入漏洞-Java
weixin_42160278的博客
02-24 187
这个是常见的漏洞了,相信大家都不会陌生,直接上解决该漏洞的代码package com.ifan.soft.filter;import java.io.IOException;import java.text.SimpleDateFormat;import java.util.Date;import javax.servlet.Filter;import javax.servlet.FilterCh...
DWR小结
03-01
博文链接:https://huxiuliang.iteye.com/blog/234274
DWR框架配置学习教程
01-23
DWR框架配置学习教程DWR框架配置学习教程
DWR(Direct Web Remoting)介绍
07-20
DWR 是一个开放源码的使用 Apache 许可协议的解决方案,它包含服务器端 Java 库、一个 DWR servlet 以及 JavaScript 库。虽然 DWR 不是 Java 平台上唯一可用的 Ajax-RPC 工具包,但是它是最成熟的,而且提供了许多有用的功能
java dwr 漏洞_Java DWR内存泄漏问题解决方案
weixin_28685287的博客
02-26 575
机器跑了一晚上,发现有崩溃现象,由于页面内有动态绘图功能,我怀疑是绘图原因,但是今天上午有人提醒我才想到,是不是间隔调用时DWR产生了内存泄漏问题?网上查了一下貌似大家都在讨论这个问题,之前我也挺老手说过DWR有内存问题,可是没有遇到过。原来DWR在间隔调用这种情况下会有问题!按照大家的说法,修改engine.js配置文件来解决问题,目前我也修改了一下,修改方法如下:在dwr.engine._se...
DWR安全性
john521
04-30 281
DWR安全性 在使用 DWR 时要明确哪些类和方法是可以被远程调用的。dwr.xml 要求为每一个远程类定义一个 create 项。还可以通过指定 include 和 exclude 元素控制远程调用 Bean 中可以被调用的方法,而不是把所有的方法都暴露给服务器端。除此之外,如果要 DWR 在转换 JavaBean 到 Javascript 时有一定限制,可以控制哪些 bean 的属性可...
实战 -- 记一次src小组定向挖掘
qq_29437513的博客
01-03 2054
实战 - 记一次src小组定向挖掘
未授权访问漏洞-java
Zxdwr520的博客
07-30 1584
该漏洞是无需登录操作直接进入登录成功后的页面,这种漏洞多数是已get方法来跳过登录到达相应的目的 第一种:使用登录的URL 比如:http://localhost:8080/LeakHandle/user/loginUser?userName=admin&password=123456 解决办法: (1)、get变post,禁止使用get方式,指定POST请求方式,并对参数判断 (2)、在JSP中不可使用GET /** * 登录---帆 * @param user ...
DWR高级主题之DWR安全机制
fhd001的专栏
12-20 2759
DWR高级主题之DWR安全机制 ---------- 很多其他Ajax工具对安全性考虑不够,让你直面安全威胁。DWR提供一些安全机制,你也许会发现它非常适合自己的需求。DWR使用多层安全保障方法,但是,至少有一个机制必须始终启用。 1.默认拒绝 无须做任何设置,DWR会自动采用"默认拒绝"方法。这意味着,在默认情况下,DWR不允许任何类被远程访问。回想一下希望远程访问的每个类,必须在配
常见漏洞类型汇总
走马观花
03-19 5982
http://www.cnvd.org.cn/publish/main/78/2012/20120924161917256776912/20120924161917256776912_.html 一、SQL注入漏洞           SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略
DWR深度解析:Ajax框架的JavaEE实践与安全性
DWR的优势在于安全性,尽管通常认为远程访问存在风险,但DWR采取了有效的措施来保障安全。此外,DWR简化了开发者的工作流程,减少了代码量,提高了开发效率,特别是在处理复杂的业务逻辑和数据交互时,DWR能够无缝...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值