1、漏洞概述
About JSF
JavaServer Faces,新一代的Java Web应用技术标准,吸收了很多Java Servlet以及其他的Web应用框架的特性。JSF为Web应用开发定义了一个事件驱动的、基于组件的模型。其中最常用的是Sun(现在的Oracle)发布的Mojarra
和Apache发布的MyFaces
JavaServerFaces(JSF)概念在几年前就已经引入,现在主要在J2EE中使用
JSF 和类似的 Web 技术之间的区别在于 JSF 使用 ViewStates(除了会话)来存储视图的当前状态(例如,当前应该显示视图的哪些部分)。ViewState 可以存储在server
或 上client
。JSF ViewStates 通常作为隐藏字段自动嵌入到 HTML 表单中,名称为javax.faces.ViewState
。如果提交表单,它们将被发送回服务器。(有点像.net中的viewstate)
如果 JSF ViewState 配置为位于client
隐藏javax.faces.ViewState
字段上,则包含一个至少经过 Base64 编码的序列化 Java 对象。
默认字段如下,其中javax.faces.ViewState
的值为经过编码/加密处理的序列化对象
<input type="hidden" name="javax.faces.ViewState" id="j_id__v_0:javax.faces.ViewState:1" val