阻止JavaWeb系统出现 jsp-WebShell 漏洞

最新推荐文章于 2024-05-18 16:42:38 发布
最新推荐文章于 2024-05-18 16:42:38 发布
阅读量1.1k 收藏 1
点赞数
文章标签: java shell 测试
原文链接:https://my.oschina.net/jsan/blog/3035486
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

1. 前提是你的Java Web系统不使用 jsp 作为视图层,否则会对自身产生影响;

2. 在 web.xml 中配置禁止 jsp 脚本功能:

<jsp-config>
	<jsp-property-group>
	    <url-pattern>*.jspx</url-pattern>
	    <url-pattern>*.jsp</url-pattern>
	    <scripting-invalid>true</scripting-invalid>
	</jsp-property-group>
</jsp-config>

配置生效后,将不允许 jsp/jspx 文件中包含任何 scripting,包括:

<% %> 与 <jsp:scriptlet></jsp:scriptlet>

<%! %> 与 <jsp:declaration></jsp:declaration>

<%= %> 与 <jsp:expression></jsp:expression>

包含上述脚本的 jsp / jspx 文件在编译的时候将产生编译错误。目前能看见的 Java 的 webshell 全都离不开这几种语法,所以应该可以说是能够禁止所有目前已知的 Java WebShell。

转载于:https://my.oschina.net/jsan/blog/3035486

weixin_34384681
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
容器网页终端(websocket-webshell
09-23
Java WebSockt DockerSSH Html5 Tomcat8 等技术写的WebShell 容器网页终端 传统websockt终端和容器化终端解决方案!
java 简单的webshell_一句话木马的简单例子 网站webshell & 远程连接
weixin_30706851的博客
02-26 880
一 概述本地 kail linux目标 windows nt 服务器二 过程首先编写一句话木马 index.php一句话木马的原理就是把C=xxx 字符串当成php语句执行注意这里用了GET,因为尝试过POST不成功编写 上传脚本 index.pyimportrequestsbase_url='http://192.168.1.4/'url_for_time='index.php?modul...
jsp webshell 初识
weixin_50217210的博客
03-02 377
访问得到os.name的信息 代码中可以接收参数cmd 我们提供参数看看 cmd=ipconfig。没问题这里(只是我测试的时候没有处理图片,就不放置了)很有可能是字节输出的代码被检测到了,我们删除了看一下。果然,删除以后检测不到了,那我们想办法绕过。之前是执行exec参数,这次是可疑文件。放到IDEA中webapp下测试一下。在D盾跑还是被检测到了,换一种方式输出字节流。
java webshell_网站漏洞测试 关于webshell木马后门检测
weixin_30227789的博客
02-24 1012
前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项目,在进行安全测试之前,我们对客户的网站大体的了解了一下,整个平台网站,包括APP,安卓端,IOS端都采用的JSP+oracle数据库架构开发,前端使用VUE,服务器是linux centos系统.下...
利用unicode无数字webshell
神隐哥的博客
03-02 321
首先就是利用数字与字符串拼接。数组会变成字符串的Array 然后利用![]返回1![]+![]+![]用来截取任意字符串++$x就能得到任意字符 <?php $Φ=([].Φ)[![]+![]+![]];//a $Χ=++$Φ;//b $Ψ=++$Χ;//c $Ω=++$Ψ;//d $Ϊ=++$Ω;//e $Ϋ=++$Ϊ;//f $ά=++$Ϋ;//g $έ=++$ά;//h $ή=++$έ;//i $ί=++$ή;//j $ΰ=++$ί;//k $α=++$ΰ;//m $β=++$α;//n $
memShell一个webshell驻留在javaweb服务器的内存中
08-07
memShell 一个webshell驻留在java web服务器的内存中
javaWeb安全漏洞及处理方式
lizhengyu891231的博客
07-16 1765
转载自:https://blog.csdn.net/lujiancs/article/details/78175007 1、SQL注入攻击 SQL注入攻击就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意...
JavaWeb实现简易教务管理系统-servlet-jsp-MVC
07-03
这是一个纯JavaWeb项目,采用MVC模式,即 模型(model)-视图(view)-控制器(controller),没有使用其他框架,采用的是纯servlet+jsp实现的一个简易选课JavaWeb项目,实现的功能如下:包括 **管理员 教师 学生** ...
湖科大javaweb课程设计--图书管理系统
06-17
湖科大javaweb课程设计--图书管理系统,基于mybatis,jsp,servlet,jquery,echarts,bootstrap 代码简单易懂,快速上手,基于MVC架构分模块设计
javaweb期末作业--教师学生信息管理系统源码+数据库.zip
06-20
javaweb期末作业--教师学生信息管理系统源码+数据库。网页设计与制作期末作业--html+css,Java设计模式平时作业和期末作业。 javaweb期末作业--教师学生信息管理系统源码+数据库。网页设计与制作期末作业--html+css...
javaweb课程设计----审计系统
07-14
采用ssm+mysql。前端使用html5+css3+jquery.系统功能完整,下载运行即可。代码注释多,技术比较基础。适合学习模仿
JAVAWEB校园订餐系统项目源码-前端JSP-WebRoot.zip
11-02
JAVAWEB校园订餐系统项目源码_前端JSP_WebRoot.zip
jar包增量更新分析
junlaiyan的专栏
05-16 263
借助jdeps分析出jar包的增量文件
SpringBoot接入Knife4j接口文档
最新发布
博主是个二次元死肥宅~
05-18 679
Knife4j是Java MVC框架集成Swagger生成Api文档的增强解决方案,前身是swagger-bootstrap-ui。
java实现拼图小游戏
monkey108的博客
05-16 622
本文主要提供用java实现的拼图小游戏源代码。
命令执行漏洞(二)
XLbb的博客
05-15 906
POST方法,S2-045-bypass-2漏洞存在!,程序更改为S2-045-bypass-2漏洞测试模式, 响应码: 200。POST方法,S2-046-bypass漏洞存在!POST方法,S2-045-bypass漏洞存在!POST方法,S2-046-1漏洞存在!POST方法,S2-046-2漏洞存在!POST方法,S2-046-3漏洞存在!POST方法,S2-045-1漏洞存在!POST方法,S2-045-3漏洞存在!POST方法,S2-045-2漏洞存在!POST方法,S2-045-4漏洞存在!
c【语言】了解指针,爱上指针(1)
yzqy_的博客
05-16 914
在计算机中,数据是存储在内存中的,cpu从内存中读取数据,为了方便读取数据,内存又被划分为了一个个的内存单元,一个内存单元的大小就是一字节,一字节等于8bit位,我们给内存进行编号,这个编号就是地址,在c语言中给这个地址起了个名字。是的,亲爱的读者你肯定发现了,&a、p和pc输出的地址是一样的,但&a+1与p+1输出的地址是一样的00EFF940,一次都跳过了4字节,而pc+1输出的却是00EFF93D,一次只跳过一个字节。但是硬件与硬件之间是相互独立的,这该如何实现数据传输呢?”答案当然是否定的。
java数据结构与算法(验证二叉搜索树)
磐门的博客
05-17 248
节点返回空为ture,节点的值不在对应数据大小范围内返回false。将验证二叉搜索树计算同样可以转换为相同子问题,所以比较适合用递归。node为root的左节点时,max更新为root.val。node为root的右节点时,min更新为root.val。
商品订单管理系统java_Javaweb的实例--订单管理系统--设计数据库
06-12
好的,下面是设计商品订单管理系统的数据库的步骤: 1. 确定主要实体 首先,我们需要确定主要实体,即与订单管理系统有关的实体。这些实体可能包括订单、商品、用户、地址等。 2. 创建实体表 接下来,我们可以创建每个实体的表。每个表应该包含与该实体相关的所有信息。例如,订单表应该包含订单编号、订单日期、用户ID、商品ID、数量、状态等字段。 3. 确定关系 然后,我们需要确定实体之间的关系。订单和商品之间的关系可能是“一对多”,即一个订单可以包含多个商品,而一个商品只能属于一个订单。用户和地址之间的关系可能是“一对一”,即一个用户只能有一个地址,而一个地址只能属于一个用户。 4. 创建关系表 为了实现实体之间的关系,我们需要创建关系表。例如,为了实现订单和商品之间的“一对多”关系,我们可以创建一个名为“订单商品”的表,其中包含订单ID和商品ID两个字段。 5. 设计索引 最后,我们需要设计索引,以便能够快速查找和检索数据库中的数据。例如,我们可以为订单表的订单编号字段和用户ID字段创建索引,以便能够快速查找特定的订单和用户。 以上是设计商品订单管理系统数据库的基本步骤,当然还需要根据实际需求进行具体实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值