- 博客(8)
- 收藏
- 关注
RSS订阅原创 JSP注入攻击tomcat服务器小案例
最近学了文件上传下载,但是注意到了一个问题,用户上传普通的比如图片小说,这是没有问题的,但是,如果用户上传了一个可以在服务器执行的文件比如jsp,这问题可就大了。先演示一段jap注入攻击,假定上传的文件我们放在tomcat的根目录下:这是上传页面代码 名称: 艳照: 这是servlet处理上传的代码public void doGet(Htt
2016-04-25 15:45:15
8588
原创 Annotation(注解)代替web.xml完成servlet配置
一般我们新建一个servlet总要完成对应的环境配置,我们先来看看一个简单得web.xml配置servlet: FindAllProvinceServlet com.canyugan.web.servlet.FindAllProvinceServlet FindAllProvinceServlet /FindAllProvinceServlet 对
2016-04-24 22:44:34
9608
原创 servlet过滤器链FilterChain
我们再聊聊过滤器链的事。首先我们得清楚,定以过滤器需要实现javax.servlet.Filter接口。而Filter 的基本功能是对 Servlet 容器调用 Servlet 的过程进行拦截,从而在 Servlet 进行响应处理的前后实现一些特殊的功能。在 Servlet API 中定义了三个接口类来开供开发人员编写 Filter 程序:Filter, FilterChain, Filter
2016-04-12 16:28:14
1401
原创 Servlet过滤器介绍
首先我们来学一个概念:什么是web应用开发中过滤器?过滤器是一个程序,它先于与之相关的servlet或JSP页面运行在服务器上。过滤器可附加到一个或多个servlet或JSP页面上,并且可以检查进入这些资源的请求信息。 在这之后,过滤器可以作如下的选择: ①以常规的方式调用资源(即,调用servlet或JSP页面)。 ②利用修改过的请求信息调用资源。 ③调
2016-04-12 15:15:10
499
原创 利用请求头Referer防止盗链
防盗链首先是为了保护我们的服务器,现在有的网站为了吸引人气会链接我们网站的一些链接,我们可以利用防盗链来甄别下载请求的主机和我们web站点的主机是否在同一个ip。/*** 防盗链 */public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletExc
2016-04-07 15:33:41
3072
原创 cookie--显示用户上次访问时间
逻辑很简单。我们先规定cookie的名称为i:lastAccessTime1:先从浏览器中取出所有cookie,取出lastAccessTime2:如果不存在lastAccessTime,浏览器显示首次访问;否则,显示上一次访问时间3:将当前时间作为cookie保存到浏览器已备下次访问response.setContentType("text/html;charset=
2016-04-07 15:25:25
4912
原创 指定URL爬取网页源码
第一次接触网络爬虫,希望和大家一起学习进步java语言是为网络而生的编程语言,对网络资源的访问和本地文件一样方便。我们可以获取流,然后从流中读取数据。本来可以使用java.net.UR来爬去网页,但是网传这样很麻烦,需要处理的情况很复杂。工作中常常用Apache的HTTP客户端开源项目HTTPClient。我们引入包就可以,HttpClient.jar来模拟浏览器获取网页的内容。
2016-04-06 19:38:04
4781
原创 自定义EL函数防止HTML注入
我们先来看看没有自定义EL函数时是怎么HTML注入的。首先,我们定义一个jsp页面用于搜集用户提交的表单数据 用户名: 留言: 我们让表单数据提交给ResultServlet来处理,所以我们定义一个servlet来处理数据import java.io.IOException;import java.io.PrintWriter;import
2016-04-03 22:40:25
2245
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人