JSP注入攻击tomcat服务器小案例

最新推荐文章于 2024-06-17 10:24:42 发布
最新推荐文章于 2024-06-17 10:24:42 发布
阅读量8.5k 收藏 6
点赞数
分类专栏: JavaWeb 参与感Thinking in Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012881836/article/details/51242641
版权

最近学了文件上传下载,但是注意到了一个问题,用户上传普通的比如图片小说,这是没有问题的,但是,如果用户上传了一个可以在服务器执行的文件比如jsp,这问题可就大了。


先演示一段jap注入攻击,假定上传的文件我们放在tomcat的根目录下:


这是上传页面代码

<form action="${pageContext.request.contextPath}/UploadServlet" method="post" enctype="multipart/form-data">
  	名称:<input type="text" name="username"><br>
  	艳照:<input type="file" name="image"><br>
  	<input type="submit" value="上传">
 </form>
最低0.47元/天 解锁文章
时间沉淀美好
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSP 木马—》被攻击 学习下
mhjzqq923的专栏
10-13 1333
昨天我的服务器攻击了,我初步怀疑是通过tomcat的安全漏洞进去的,所以发布了上篇日志进行修补。 刚才工程师告诉我是通过暴力破解ftp进去的,并且新建win用户,搞乱的系统。 我发现我的tomcat服务路径下多了两个 war包 一个是改名为101的,一个名为killbase的 两个路径里都只有一个jsp文件  但代码相同(看来是被两个人攻击了) 该代码大概
Tomcat部署程序避免jsp木马攻击
SJZYLC的专栏
04-07 2509
JSP的本质是servlet,当外面攻击者将jsp文件上传到程序目录下,就能通过访问jsp文件进行服务攻击,可以通过程序避免jsp文件上传。 如果jsp文件已经上传上去,可以避免jsp文件被直接访问,思路是通过servlet对*.jsp、*.jspx文件进行过滤,核心代码如下: Servlet文件: Object flag = request.getAttribute("org.apach...
中间件安全—Tomcat常见漏洞
最新发布
cc123489ll的博客
06-17 1144
链接。
入侵Tomcat服务器一次实战
dianyimo9099的博客
10-08 774
到网上随便逛逛,我就会发现用JSP制作的电子商务网站多如牛毛,从JSP日渐繁荣的局面来看,适合于各种平台而且免费的Tomcat逐渐成为WEB服务器的一种选择。eBay.com与Dell计算机等知名网站都采用或者曾经采用Tomcat的Container容器执行Servlet 与JSP,可想而知这个服务器软件所具有的前途。那他们的安全性如何呢?一起来看看吧!   小知识:T...
Jsp基本注入
蓝法典的专栏
03-19 2110
测试方法and 1=1 and 1=2and user_name()=dboAND ascii(lower(substring((select TOP 1 name FROM sysobjects where xtype=U), 1,1))) > 109 AND ascii(lower(substring((select TOP 1 name FROM sysobjects where x
JSP 防范SQL注入攻击分析
01-08
SQL注入攻击的总体思路: 发现SQL注入位置; 判断服务器类型和后台数据库类型; 确定可执行情况 对于有些攻击者而言,一般会采取sql注入法。下面我也谈一下自己关于sql注入法的感悟。 注入法: 从理论上说,认证网页中会有型如: select * from admin where username=’XXX’ and password=’YYY’ 的语句,若在正式运行此句之前,如果没有进行必要的字符过滤,则很容易实施SQL注入。 如在用户名文本框内输入:abc’ or 1=1– 在密码框内输入:123 则SQL语句变成: select * from admin where username=
JSP综合案例:图书管理系统
08-19
系统还需要考虑安全性问题,如SQL注入防护、XSS攻击防御等。同时,为了提高性能,可能需要对数据库查询进行优化,使用缓存技术,如Redis,来减少数据库访问。 8. **部署与运行**: 开发完成后,系统需要部署到Web...
JSP项目开发案例
09-14
开发JSP项目时,必须考虑安全性问题,例如防止SQL注入、XSS攻击等。案例中可能包含一些安全最佳实践,比如使用预编译的SQL语句、正确过滤用户输入等。 8. **部署与运行** 学习者还需要了解如何在Tomcat、Jetty等...
Tomcat&Beanutils&用户登录案例.rar
12-14
"tomcat-src"文件可能是Tomcat服务器的源代码,这有助于深入理解Tomcat的工作原理,包括请求处理流程、Servlet容器的实现、线程模型、以及如何加载和执行Web应用程序等。通过阅读源码,开发者可以学习到更多关于Web...
JSP数据库项目案例导航光盘
02-26
这包括安装和配置Java Development Kit (JDK)、设置JSP运行环境(如Tomcat服务器)、编写第一个简单的JSP页面以及理解JSP生命周期。此外,章节可能会涵盖JSP的九大内置对象,如request、response、session和...
网上书店JSP+SQL+Tomcat
04-29
7. 部署与测试:在Tomcat服务器上部署项目,进行功能测试和性能测试,确保系统稳定运行。 总结来说,【网上书店JSP+SQL+Tomcat】项目涵盖了Web开发的多个关键环节,包括前端展示、后端逻辑处理和数据库管理。通过...
关于JSP防范SQL注入攻击
01-20
这是个关于JSP防范SQL注入攻击!!@@@@
利用Tomcat运行一个JSP页面 详细步骤
热门推荐
晴天的专栏
11-04 2万+
1.启动Tomcat: 在Tomcat安装目录下的bin文件夹中,运行startup.bat批处理文件。截图如下: 此时会自动弹出窗口: 不要关闭这个窗口。 2.测试Tomcat是否启动成功。 打开浏览器,在地址栏中输入http://localhost:8080(Tomcat默认端口为8080),如果在浏览器中看到Tomcat的欢迎界面,表示Tomcat工作正常。
JSP手工注入
菜菜鸟_黑马的专栏
02-15 2617
 1、 判断注入类型(数字型还是字符型)字符型和数字型数据判断:(希望有人能进一步的细化,细分为数字型和字符型判断两部分)And user>char(0)And userhttp://www.test.net/index_kaoyan_view.jsp?id=117 And user>char(0) And 1=1 And userchar(0) And %25= And use
Java表达式注入JSP EL表达式注入
GalaxySpaceX的博客
08-16 1112
Java表达式注入JSP EL表达式注入
78.网络安全渗透测试—[SQL注入篇17]—[Oracle+JSP-联合查询注入]
qwsn
01-20 2365
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、Oracle+JSP 联合查询注入 1、注释符号 2、手工闭合方法 3、判断是否存在注入 3、判断列数:order by二分法排序` 4、联合查询:判断回显位 5、联合查询:获取Oracle的系统级信息 6、联合查询:库名、表名、字段名 7、联合查询:数据/记录/字段值 8、Oracle的常用SQL语句 9、总结:
jsp,tomcat,木马,病毒,1.war
鸟哥
05-15 894
鸟哥近日在玩tomcat做一些手机wap应用,探讨手机归属地问题。具体结论,过程,技术啥的不提。不过遭遇一些攻击,这里写这个blog给用tomcat做开发的人员提个醒。 tomcat本身开源的嘛,默认的web管理员的用户名,密码,权限等,都写死在那里,如果发布时,不小心就会被黑客利用到。上图: 看前几条杀毒记录。黑客只要有tomcat管理员权限,那基本啥事都可以搞了。 分析1.war,里...
jsp页面中,使用spring注入service
weixin_45254774的博客
10-29 664
借鉴:https://bbs.csdn.net/topics/392171992 我这里可能是因为配置问题,解决方法和上方链接的博主不同,有需要的同学可以借鉴一下 1.在jsp页面中导入下方两个文件 <%@ page import="org.springframework.web.context.support.WebApplicationContextUtils"%> <%@ page import="org.springframework.web.context.WebApplicat
JSP注入
weixin_30256901的博客
05-02 254
老东西了,不过很有用大家看看。(大牛飘过)1、 判断注入类型(数字型还是字符型)字符型和数字型数据判断:(希望有人能进一步的细化,细分为数字型和字符 型判断两部分) http://www.asphack.com/index_kaoyan_view.jsp?id=117 And user>char(0) http://www.asphack.com/index_kaoyan_v...
JSP入门:配置Tomcat服务器端口详解
"本资源主要介绍了JSP的基本概念和Tomcat服务器的配置,包括JSP的定义、JSP引擎与Tomcat的关系、JSP页面的构成以及如何更改Tomcat的默认端口。" 在深入理解JSP之前,首先要明确什么是JSPJSP,全称为JavaServer ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值