对JAVA apache+jsp架构网站代码的安全测试 第一篇


         目前在整个网络安全中,对JAVA代码,以及apache+tomcat架构的网站代码的安全测试,

以及代码的安全审计检测的服务是少之又少,大多数的网站安全检测公司,都是针对的PHP

语言开发的网站代码,以及.net开发的网站代码。未来几年的网络安全形势,都在一步步往移

动端互联网发展,手机APP端的安全,以及APP代码的安全检测,是往下的大趋势。

 
 
那么如何多JAVA网站代码进行安全检测与审计呢?首先我们来看下apache的web.xml配置文

件是如何配置的,以及全局的安全配置、路由先关的安全配置,因为这个web.xml文件在整

个JAVA网站里担当着非常重要的角色。我们来看下:


 
 
上面配置文件里写的filter,一般都是一些对于前端登录,以及传入参数值的安全过滤写法,

我们继续看代码:


 
该JAVA网站代码里写的很清楚,只接收客户的post+get的请求方式,在请求的同时也做了

安全过滤,对登录的用户进行判断,设置黑名单安全机制,来允许用户是否可以正常的登

录网站的会员系统、以及后台的管理系统。只有输入特定的地址,以及来源地址判断用户

是否可以直接打开后台进行安全登录。我们继续往下看web.xml的配置文件:

 
 
着重的我们来看下xmltobean这一行,在对网站代码进行安全测试的时候,看到这里几乎

是很难往下看的,因为这一行写的内容,是需要你开动脑筋,集中注意力仔细的去看,

牵扯到一些程序设计里的逻辑,比如程序里增加会员信息,是要经过逻辑判断的,在这里

可能会出现程序代码的逻辑漏洞,可以绕过增加直接增加任意的会员信息。这里我们来大

体的看下下面的代码,然后大体的跟大家讲解一下该代码的逻辑功能是如何设计的,客户

传递到XML配置文件里的内容,通过apache系统里的xpath进行解析并继续传递给model

对象,进而执行数据库的一些操作语句。


 
 
上面写的是apache+jsp架构网站代码的安全测试 第一篇,还有后续的第二篇,过几天再

跟大家讲解一下网站安全检测的方式,以及代码的安全审计。
分享: