java 文件包含_jsp的文件包含漏洞

最新推荐文章于 2024-04-25 13:59:04 发布
最新推荐文章于 2024-04-25 13:59:04 发布
阅读量442 收藏
点赞数
文章标签: java 文件包含
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31443757/article/details/114162007
版权

jsp的文件包含分静态包含的动态包含两种:

静态包含:

动态包含:

两者的区别我就不赘述了。

就目前了解静态包含是不存在问题的,因为file的参数不能动态赋值

而动态包含是存在问题的

我们常说的php文件包含有本地文件包含和远程文件包含两种

所以我分析java文件包含的时候也是分这两种情况

1.本地文件包含:

目前我对java的本地文件包含的理解为:造成的危害就只有文件读取,一般情况下是不能造成命令执行或代码执行的。php之所以能执行命令是因为包含txt文件,只要txt种的内容符合php程序的格式就能当成php来解析,也就是说攻击者可能上传一个一句话木马后缀是txt,上传后利用文件包含漏洞包含他就可以了。java则没有次特征。所以个人认为java的本地文件包含漏洞很难造成代码执行的漏洞的(当然,要是直接包含一个一句话木马的jsp文件还是可以执行命令的,问题要是有这样一个木马jsp文件,你又知道路径,为什么不知道访问呢?),有种特殊情况就是,通过某种手段在服务器上生成了一句话木马文件但是在特点文件夹下,访问权限不够时可以利用此文件包含漏洞包含她。

html>

测试页面

静态包含

top.jsp文件

动态包含

" />--%>

--%>

姜白的树洞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java jsp 木马_JSP安全开发之XSS漏洞详解
weixin_39991055的博客
12-21 506
前言大家好,好男人就是我,我就是好男人,我就是-0nise。在各大漏洞举报平台,我们时常会看到XSS漏洞。那么问题来了,为何会出现这种漏洞?出现这种漏洞应该怎么修复?正文1.XSS?XSS?XSS是什么鬼?XSS又叫跨站脚本攻击(Cross Site Scripting),我不会告诉他原本是叫CSS的,但是为了不和我们所用的层叠样式表(Cascading Style Sheets)CSS搞混。CS...
java 文件包含漏洞_远程文件包含漏洞(pikachu)
weixin_39987985的博客
03-05 2144
漏洞介绍File Inclusion(文件包含漏洞)概述文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在PHP中,提供了:include(),include_once()require(),require_once()这些文件包含函数,这些函数在代码设计中被经常使用到。大多数情况下,文件包含函数中包含的代...
java开发常见漏洞及处理说明
06-30
java web程序常见高危安全漏洞(如:SQL注入 、 XSS跨站脚本攻击、文件上传)的过滤和拦截处理,确保系统能够安全的运行
Web漏洞-文件包含漏洞超详细全解(附实例)_【web漏洞百例】
最新发布
2401_84215240的博客
04-25 1226
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…4.因为这里展示的是show.php文件,因此我们想到直接去访问show.php文件,可以看到当我们直接访问show.php时,网站返回的也是同样的内容。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Java包含常见web漏洞测试项目
12-06
一个包含web常见漏洞的maven 项目。JDK8 +springMVC+JDBC+mybatis+mysql。使用Eclipse导入maven项目,用sql创建数据库和表,修改数据库连接密码。即可运行。有兴趣的可以研究测试。
jsp文件包含漏洞
weixin_30549175的博客
07-24 461
jsp文件包含分静态包含的动态包含两种: 静态包含:<%@include file="top.jsp"%> 动态包含:<jsp:include page="top.jsp" /> 两者的区别我就不赘述了。 就目前了解静态包含是不存在问题的,因为file的参数不能动态赋值 而动态包含是存在问题的 我们常说的php文件包含有本地文件包含和远程文件包含两种 所以我...
java 文件包含_java文件包含漏洞
weixin_35591093的博客
02-15 2012
java文件包含分静态包含的动态包含两种:静态包含:动态包含:两者的区别我就不赘述了。就目前了解静态包含是不存在问题的,因为file的参数不能动态赋值而动态包含是存在问题的我们常说的php文件包含有本地文件包含和远程文件包含两种所以我分析java文件包含的时候也是分这两种情况1.本地文件包含:目前我对java的本地文件包含的理解为:造成的危害就只有文件读取,一般情况下是不能造成命令执行或代码执行...
java 文件包含漏洞_tomcat ajp任意文件包含漏洞分析.md
weixin_35715118的博客
03-05 283
CVE-2020-1938:Tomcat AJP文件包含漏洞分析--### 0x01 前言最近这个漏洞特别的火,各大媒体都在报道,在第一时间进行复现过后,我就想着找个时间分析分析,但是看了老半天的代码也没找到漏洞的触发点,只是根据PoC确定了是由于ajp协议可以自定义request的某些属性值导致的漏洞,而且我翻源码也找到了ajp协议的逻辑代码。但是更进一步,就卡住了,不知道自定义属性怎么就导致了...
java安全漏洞靶场构建文件
07-05
Java安全漏洞靶场构建文件 本资源主要介绍了如何构建一个 Java 安全漏洞靶场,旨在帮助开发者和安全测试人员了解 Java 应用程序中的安全漏洞。该靶场构建文件提供了详细的步骤和环境配置信息,涵盖了 JDK、Tomcat、...
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)
03-05
CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名,这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞的存在使得攻击者有可能通过精心构造的请求,将恶意代码注入到Tomcat服务器上,从而执行任意...
blog_jsp.rar_../../../etc/passwd_/etc/passwd_java 博客_java博客_main
09-21
JSP文件在服务器上被编译为Servlet,然后执行并返回结果给客户端。 2. **Struts**:Struts是一个开源的MVC(Model-View-Controller)框架,用于构建Java Web应用程序。它帮助开发者组织和控制业务逻辑,简化Web应用...
jsp.zip_jsp_jsp spy 2010 pudn_jsp spy 2010 pu_pudn jsp spy 2010
09-23
jsp.zip_jsp_jsp_spy_2010_pudn_jsp_spy_2010_pu_pudn_jsp_spy_2010】这个压缩包文件包含的是与`jsp_spy_2010`相关的Web远程管理脚本,主要面向Java服务器页面(JSP)技术。JSPJava平台上的一个动态网页开发技术...
jsp-upload.rar_http upload_jsp fileupload
09-19
标题 "jsp-upload.rar_http upload_jsp fileupload" 暗示了这个压缩包包含了一个简单的JSP文件上传示例,使用了Apache Commons FileUpload库,版本为1.2.1,来实现HTTP服务器上的文件上传功能。Apache Commons ...
Java安全-Tomcat AJP 文件包含漏洞(CVE-2020-1938)幽灵猫漏洞复现
Love&Share
11-07 2620
Tomcat AJP 文件包含漏洞(CVE-2020-1938) CVE-2020-1938 又名GhostCat ApacheTomcat服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat 上所有 webapp 目录下的任意文件 该漏洞是一个单独的文件包含漏洞,依赖于 Tomcat 的 AJP(定向包协议)。AJP 自身存在一定缺陷,由于Tomcat在处理AJP请求时,未对请求做任何验证,通过设置AJP连接器封装的request对象的属性, 导致产生任意文件读取漏洞和代码执行漏洞 .
什么是jsp
liujiujiang的博客
08-07 432
什么是JSP? JSP全称Java Server Pages,是一种动态网页开发技术。它使用JSP标签在HTML网页中插入Java代码。标签通常以&lt;%开头以%&gt;结束。 JSP是一种Java servlet,主要用于实现Java web应用程序的用户界面部分。网页开发者们通过结合HTML代码、XHTML代码、XML元素以及嵌入JSP操作和命令来编写JSPJSP通过网页表单获取用...
文件包含漏洞
jiangliuzheng的专栏
09-01 9346
1、什么是文件包含漏洞 文件包含,包括本地文件包含(Locao file inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)两种形式。 首先,本地文件包含就是通过浏览器引进(包含)Web服务器上的文件,这种漏洞一般发生在浏览器包含文件时没有进行严格的过滤,允许遍历目录的字符注入浏览器并执行(比如:asp?file=index.html)。 其次,
文件包含漏洞利用
Jim的博客
09-21 736
Java代码审计之文件包含
jameson_的专栏
06-12 2371
事件今天报一个文件包含,正常url:http://xx.xx.xx.com/view=f01 payload : http://xx.xx.xx.com/view=../../../../../../../../etc/passwd%00看了一下,问题代码如下。private String getFile(String tagId) { String path = getClass
理解Web安全文件包含漏洞深度解析
要利用JSP文件包含漏洞实现代码执行,通常需要满足以下条件:动态包含且目标为Web路径下的JSP文件,同时可能需要利用某些特定的服务器配置或漏洞来绕过限制。 ASPX环境中的文件包含主要涉及`includefile`和`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值