`

jsp页面高危漏洞的解决办法

高危漏洞 
阅读更多 
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<%@ page language="java" import="java.util.*,java.lang.*"
	pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jstl/core_rt"%>
<%@ taglib prefix="sql" uri="http://java.sun.com/jstl/sql_rt"%>
<%@taglib uri="http://java.sun.com/jstl/fmt_rt" prefix="fmt"%>
<html>
 <head>
  <title> New Document </title>
  <meta name="Generator" content="EditPlus">
  <meta name="Author" content="">
  <meta name="Keywords" content="">
  <meta name="Description" content="">
<script type="text/javascript">

var kw = "<%=request.getParameter("sword")%>";

</script>
 </head>

 <body>
  
 </body>
</html>

注入漏洞:

http://wap.51bi.com/wap/search/searchindex.jsp?page=1&sword=";alert('hacker');"

 

解决办法:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<%@ page language="java" import="java.util.*,java.lang.*"
    pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jstl/core_rt"%>
<%@ taglib prefix="sql" uri="http://java.sun.com/jstl/sql_rt"%>
<%@taglib uri="http://java.sun.com/jstl/fmt_rt" prefix="fmt"%>
<%
String sword = request.getParameter("sword");
    sword = sword.replace('<', ' ');
    sword = sword.replace('>', ' ');
    sword = sword.replace('"', ' ');
    sword = sword.replace('\'', ' ');
    sword = sword.replace('/', ' ');
    sword = sword.replace('%', ' ');
    sword = sword.replace(';', ' ');
    sword = sword.replace('(', ' ');
    sword = sword.replace(')', ' ');
    sword = sword.replace('&', ' ');
    sword = sword.replace('+', '_');
%>
<html>
 <head>
  <title> New Document </title>
  <meta name="Generator" content="EditPlus">
  <meta name="Author" content="">
  <meta name="Keywords" content="">
  <meta name="Description" content="">
<script type="text/javascript">
var kw = "<%=sword%>";
</script>
 </head>

 <body>
 
 </body>
</html>

 

参考方案:

http://knowledge.twisc.ntust.edu.tw/doku.php?id=3%E4%BC%BA%E6%9C%8D%E7%AB%AF%E5%AE%89%E5%85%A8:3-3%E5%AE%89%E5%85%A8%E7%A8%8B%E5%BC%8F%E7%A2%BC%E5%AF%AB%E4%BD%9C:jsp%E9%81%BF%E5%85%8Dxss%E6%96%B9%E6%B3%95

分享到:
| Hibernate学习之主键增长策略
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    动态Jsp页面转换成静态Html页面

    动态Jsp页面转换成静态Html页面动态Jsp页面转换成静态Html页面动态Jsp页面转换成静态Html页面动态Jsp页面转换成静态Html页面动态Jsp页面转换成静态Html页面动态Jsp页面转换成静态Html页面动态Jsp页面转换成静态Html...

    解决jsp页面乱码

    解决jsp页面乱码,页面信息配置,tomcat配置以及各种信息配置

    JSP页面中文乱码几个解决办法

    总结来说,解决JSP页面中文乱码问题的关键在于保持字符编码的一致性,从编辑器保存文件的编码、JSP页面的编码声明、Servlet的响应编码、POST请求的参数编码,到服务器处理GET请求的编码,都需要进行适配和统一。...

    提升JSP页面响应速度的七大秘籍绝招

    这些秘籍绝招涵盖了 JSP 页面的生命周期、Servlet 的 init() 方法、自动重载功能、HttpSession 的使用、页面输出压缩等方面。 秘籍一:在 Servlet 的 init() 方法中缓存数据 在 Servlet 的 init() 方法中缓存一些...

    jsp页面加载时提示loading

    综上所述,解决"jsp页面加载时提示loading"的问题需要从多方面进行排查和优化,包括页面内容优化、服务器性能提升、网络条件改善、代码错误检查、缓存策略调整、服务器配置优化、数据库性能优化、AJAX请求优化、...

    jsp页面显示中文乱码解决.rar

    3. **解决JSP页面中文乱码的方法** - **HTTP头部设置**:在JSP文件顶部添加`&lt;meta charset="UTF-8"&gt;`,或在Servlet中通过`response.setContentType("text/html; charset=UTF-8")`设置编码。 - **页面指令设置**:...

    JSP中文乱码问题解决办法

    JSP 中文乱码问题解决办法 JSP 页面中中文乱码问题是指在 JSP 页面中使用中文时,页面显示乱码的现象。这种问题的解决办法可以从多方面入手,包括设置页面的字符编码、使用 POST 方式提交表单、使用 GET 方式提交...

    几种JSP页面传值方式.txt

    ### 几种JSP页面传值方式详解 在Java Web开发中,JSP(Java Server Pages)是一种常用的技术,用于创建动态网页。JSP页面之间的数据传递是实现前后端交互的关键环节之一。本文将详细介绍几种常见的JSP页面传值方式...

    服务器安全技术分析:JSP漏洞大观

    文中介绍一下一些服务器(包括Web服务器和JSP服务器)的常见漏洞:Apache泄露重写的任意文件、在HTTP请求中添加特殊字符导致暴露JSP源代码文件、Tomcat的漏洞、Allair Jrun漏洞有...并且针对这些漏洞提出了解决方案。

    5种JSP页面显示为乱码的解决方法

    解决页面乱码问题 &lt;display-name&gt;JSPConfiguration *.jsp &lt;page-encoding&gt;GBK &lt;/jsp-property-group&gt; &lt;/jsp-config&gt; ``` 这样,所有以`.jsp`结尾的文件都将按照GBK编码处理。 2. Servlet接收Form/Request...

    jsp页面同时弹出页面和对话框

    本文将详细解析如何在JSP页面中通过两种主要方法实现这一功能:一是使用`window.open`方法弹出页面;二是使用`window.showModalDialog`方法弹出对话框,并深入探讨其应用场景及优缺点。 ### 一、通过`window.open`...

    jsp页面乱码最简单的解决办法

    ### jsp页面乱码最简单的解决办法 在Web开发中,尤其是使用Java Server Pages (JSP)进行网页制作时,经常遇到的一个问题是字符编码问题,即所谓的“乱码”。这不仅影响用户体验,还可能导致数据处理错误。本文将...

    jsp页面人力资源管理系统静态页面

    【标题】"jsp页面人力资源管理系统静态页面"涉及的是基于JavaServer Pages(JSP)技术构建的人力资源管理系统的前端部分。JSP是一种动态网页开发技术,它允许开发者将HTML、CSS、JavaScript等静态内容与Java代码相...

    如何解决JSP页面显示乱码问题

    ### 如何解决JSP页面显示乱码问题 在JSP(Java Server Pages)开发中,中文乱码问题一直是开发者常见的挑战之一。这类问题通常源于不同的编码格式不一致导致的字符集冲突。本文将针对JSP页面显示乱码、表单提交中文...

    对jsp两个页面间传递变量出现变量乱码的解决

    本文将详细介绍如何解决JSP页面间传递变量时出现的乱码问题。 首先,我们来看方案(一),这是通过在JSP脚本中设置字符编码来解决局部乱码的方法。在JSP页面中插入以下代码: ```jsp ("GBK"); %&gt; ("GBK"); %&gt; ``` ...

    怎么解决JSP页面中文问题20100901

    ### 如何解决JSP页面中的中文问题 在Web开发中,尤其是使用Java Server Pages (JSP)进行开发时,处理中文字符常常会...通过以上方法,可以有效地解决JSP页面中的中文乱码问题,提高Web应用程序的用户体验和稳定性。

    JSP页面加载时提示"正在加载中"

    任何jsp页面只要使用包含附件中的loading.jsp将自动拥有“页面正在加载的。。”提示信息,在页面加载完后将自动隐藏。 我为什么使用这个组件? 1。交互性。 客户清楚知道,你的页面是在加载,需要等待,而不用...

    jsp页面中EL表达式被当成字符串处理不显示值问题的解决方法

    综上所述,在开发中遇到EL表达式问题时,可以通过调整web.xml文件中的JSP版本配置或在JSP页面中调整page directive指令来解决。同时,了解EL表达式在不同Java EE版本中的行为差异以及它们提供的新特性,有助于在实际...

    jsp登录页面设计源代码

    jsp登录页面设计源代码 jsp登录页面设计是指使用jsp语言来设计一个登录页面,实现用户的身份验证。下面是jsp登录页面设计的详细知识点: 1. HTML代码设计: 登录页面的静态设计使用HTML语言,通过设计HTML代码来...

Magicbox
Global site tag (gtag.js) - Google Analytics