【正文】 Name() { return name。allowStaticMethodAccess39。\u0023context[\39。 RequestDispatcher rd = (path)。 如果開發(fā)時，需要使用外部參數(shù)傳入方式。 if (“關(guān)鍵字查詢匹配 key1”) { ( and key1= ?)。 MySql JDBC 簡單示例： WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 使用’單引號讓程序報 sql異常，說明外部傳入的參數(shù)可以直接控制sql語句的結(jié)構(gòu)： WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 union%20select%201,2, current_user%28%29 構(gòu)造 sql語句獲取數(shù)據(jù)庫信息，如：讀取數(shù)據(jù)庫當(dāng)前用戶信息： WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 讀取其他表的數(shù)據(jù)： WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 1%20%20union%20select%201,2,%20%28select%20load_file%28%22c:/BOO%22%29%29 根據(jù)權(quán)限讀取系統(tǒng)文件 WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 union select 1,2,39。 WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 20 示例：某個添加管理員的功能 WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 只要管理員訪問下面的 url，就可以創(chuàng)建一個管理員 : =csrfage=12birthday=19700101note=test 攻擊者：想辦法讓管理員訪問這個地址 img src=攻擊地址 例如，使用 html img 標(biāo)簽在管理員經(jīng)常訪問的網(wǎng)站頁面嵌入下面的攻擊代碼： img src=Word=csrfage=12birthday=19700101note=test WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 22 WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 23 WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 24 WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 25 實現(xiàn)攻擊有兩個基本條件： 攻擊者必須非常熟悉被攻擊的應(yīng)用 被攻擊應(yīng)用的用戶必須是登錄狀態(tài)（實際中，重要功能操作權(quán)限須有登錄狀態(tài)） 危害： 實際危害決定于 CSRF對應(yīng)用中功能操作后對業(yè)務(wù)的影響。 } WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 14 WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 但可能有些標(biāo)簽在實際開發(fā)需要顯示輸出（如： img標(biāo)簽），影響到正常業(yè)務(wù)。:()。:()。 WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 參數(shù)值轉(zhuǎn)義 html標(biāo)簽的偽代碼示例： public static String filter(String str) { if (str == null) return (null)。 通常類型：反射型、存儲型兩大類（還有些如：所謂的 DOM型等） WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 注入的 Javascript腳本被解析執(zhí)行，形成一個反射型 XSS： WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 危害： 對于一般應(yīng)用，用戶 cookie盜?。ㄆ胀ㄓ脩艏肮芾韱T登錄 cookie ）非法登錄應(yīng)用。 StringBuilder result = new StringBuilder( + 50)。39。39。Domain=domainvalue。 個人覺得 referer是 web服務(wù)器層面上的部署防御，應(yīng)用代碼層面應(yīng)該使用 token。c:/39。比如，多個容器類型映射一個應(yīng)用目錄時（同時能夠解析 php文件）： String fileName=““（后綴名全部大寫） ,從而繞過黑名單，因為 equals嚴(yán)格 大小寫的。 ……. 這樣從外部就無法直接控制文件下載路徑！ WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 J2EE特點所致 組件信息泄露 WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 看到這段異常，從 sql信息到使用的框架信息及 web服務(wù)器信息全部暴露了！ 編碼時，養(yǎng)成截取異常信息并存儲到日志文件里的好習(xí)慣，不要在頁面顯示出來！ Java拋異常的特點，可能導(dǎo)致攻擊者的攻擊成本降低！ WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 J2EE特點所致 安全目錄繞 METAINF及 WEBINF是 Java的 WEB應(yīng)用的安全目錄 ，客戶端無法訪問， 只有服務(wù)端可以訪問的目錄 。 Struts2一系列遠(yuǎn)程代碼執(zhí)行漏洞，都是在功能設(shè)計時，安全過濾不嚴(yán)格及 OGNL濫用造成的！ 所以 ,你們在使用 OGNL設(shè)計功能的時候千萬不能學(xué)習(xí) Struts2官方！?。? WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 struts2遠(yuǎn)程代碼執(zhí)行相關(guān)示例 第一個是 2023年 7月 14號， Struts2/XWork “,POC示例 : ?(39。)(\u0023foo\u003dnew%(false)))(asdf)((39。但在設(shè)計功能時濫用 OGNL,只要帶這樣的關(guān)鍵字 ${OGNL表達(dá)式代碼 }，框架就會把中間的代碼作為 OGNL表達(dá)式執(zhí)行。 } } WEB應(yīng)用安全和數(shù)據(jù)庫安全的領(lǐng)航者 test值會自動填充到 User對象 name屬性中（類似 struts2表單自動填充方式）。 。 :52:5211:52:52March 4, 2023 ? 1意志堅強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 :52:5211:52Mar234Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯兒