内容简介:安全人员可能觉得不一样,毕竟从对通配符的认识来说,开发人员可能觉得一样,根据平常的开发经验,并未发现两者的差别。其实呢,这两种认识都不正确,更确切地说前者说的不够正确。具体许我慢慢道来。
问题:过滤器作用范围设置为/或/*一样么?
安全人员可能觉得不一样,毕竟从对通配符的认识来说, / 代表的只是根目录, /* 代表所有。
开发人员可能觉得一样,根据平常的开发经验,并未发现两者的差别。
其实呢,这两种认识都不正确,更确切地说前者说的不够正确。具体许我慢慢道来。
0x01 问题背景
回想起之前做的代码审计时,发现项目设置全局过滤器时,有的设置为 / ,有的设置为 /* 。
在自己模糊印象里,在校学jsp时确实感觉两者是一样的。但作为安全人员,还是不禁好奇,于是查资料写代码实验,终于发现他们的不同。在我明白了它们的不同之后,我调查了下周边做安全和开发的朋友,结果清一色的认为它们一样。
0x02 实验测试
我们以防御XSS漏洞的demo来实验,过滤器使用上篇文章的代码。
存在XSS漏洞的jsp页面代码
<% out.write(request.getParameter("str"));%>
web.xml中过滤器配置
... <filter> <filter-name>CrossSiteScriptFilter</filter-name> <filter-class>me.gv7.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>CrossSiteScriptFilter</filter-name> <!-- <url-pattern>/*</url-pattern> --> <url-pattern>/</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping> ...
通过演示的结果我们知道:
/* /
0x03 最后总结
一般项目采用MVC架构之后,基本不会有程序猿继续在jsp文件写后端处理代码。然而这个世界很奇怪,正如墨菲定律说的那样,觉得不可能的往往会发生。而我们更不能把安全寄托于人性上,所以全局安全过滤器请设置作用范围为 /* 。
当我们在进行代码审计发现全局过滤器的作用范围为 / ,则可以着重检查jsp文件中是否包含后端处理代码,毕竟其不在过滤器保护范围内。
以上所述就是小编给大家介绍的《过滤器作用范围/和/*引发的安全问题》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
穿越计算机的迷雾
李忠 / 电子工业出版社 / 2011-1 / 36.00元
《穿越计算机的迷雾》从最基本的电学知识开始,带领读者一步一步、从无到有地制造一台能全自动工作的计算机。在这个过程中,读者可以学习到大量有趣的电学、数学和逻辑学知识,了解到它们是如何为电子计算机的产生创造条件,并促使它不断向着更快、更小、更强的方向发展。通过阅读《穿越计算机的迷雾》,读者可以很容易地理解自动计算实际上是如何发生的,而现代的计算机又是怎么工作的。以此为基础,在《穿越计算机的迷雾》的后面......一起来看看 《穿越计算机的迷雾》 这本书的介绍吧!
