目录
0x00 前言
0x01 Servlet&路由&生命周期
0x02 JDBC&Mybatis
0x03 预编译 SQL
0x04 Filter 过滤器
0x05 Listener 监听器
0x00 前言
很久没有更新 CSDN 博客了,原因是搭建了个人博客网站,但现在决定还是同步到 CSDN
希望和各位大佬一起学习,如果文章内容有错请多多指正,谢谢!
个人博客链接:CH4SER的个人BLOG – Welcome To Ch4ser's Blog
0x01 Servlet&路由&生命周期
参考:JAVAEE的核心-Servlet_javaee servlet-CSDN博客
1、解释
Servlet 是运行在 Web 服务器或应用服务器上的程序,它是作为来自 Web 浏览器或其他 HTTP 客户端的请求和 HTTP 服务器上的数据库或应用程序之间的中间层。
使用 Servlet 可以收集来自网页表单的用户输入,呈现来自数据库或者其他源的记录,还可以动态创建网页。
2、创建和使用 Servlet
- 第一步,创建一个类继承 HttpServlet
- 第二步,在 web.xml 配置 Servlet 路由,或者使用 @WebServlet 配置(后面的 Filter、Listener 对应 @WebFilter、@WebListener)
- 第三步,写入内置方法(init、service、destroy、doGet、doPost ......)
关于 web.xml:
- web.xml 是 web 应用的配置文件,它必须存放在 webapp/WEB-INF/ 目录下面
- 用于对 web 应用下的web资源进行配置,服务器在启动时会读取 web.xml 文件中的内容
关于 url-pattern 匹配模式:
- / 代表当前web应用的根目录
- 精确匹配,例如:/test
- 匹配任意的url,例如:/*
以下是使用 @WebServlet 配置 Servlet 路由的示例:
以下是在 web.xml 中配置 Servlet 路由的示例:
以下是测试 doGet 方法,浏览器 GET 方式请求 http://localhost:8080/demo1/index?name=ch4ser,页面和控制台都会有打印输出。
同理,可以测试 doPut、doDelete 等方法。
3、Servlet 的生命周期
以下是测试 init、service、destroy 方法:
当浏览器 GET 方式请求 http://localhost:8080/demo1/index?name=ch4ser,IDEA 控制台输出:
---------Init---------
---------Servlet Service---------
---------Http Service---------
--------doGET---------
当 Tomcat 服务器关闭时,IDEA 控制台输出:---------Destroy---------
注意上面两个不同的 service 方法:
- service(ServletRequest req, ServletResponse res):这个方法是 Servlet 的父类 GenericServlet 中定义的方法。用于处理通用的请求和响应
- service(HttpServletRequest req, HttpServletResponse resp):这个方法是 Servlet 的子类
HttpServlet
中定义的方法。用于处理 HTTP 请求和响应
所以,如果只需要处理通用的请求和响应,可以使用service(ServletRequest req, ServletResponse res)方法。
而如果需要处理HTTP请求和响应,可以使用service(HttpServletRequest req, HttpServletResponse resp)方法,它提供了更多的HTTP相关的功能和信息。
0x02 JDBC&Mybatis
1、原生态数据库开发:JDBC
参考:JavaEE-JDBC基础 - 简书 (jianshu.com)
JDBC:由 Java 提供,用于访问数据库的统一 API 接口规范。
数据库驱动:由各个数据库厂商提供,用于访问数据库的 jar 包(JDBC的具体实现),遵循 JDBC 接口,以便 Java 程序员使用。
- 下载数据库驱动 jar 包:Maven Repository: Search/Browse/Explore (mvnrepository.com)
- 引用封装 jar包:项目根目录下创建一个 lib 目录,复制导入 lib 后,右键选择添加为库
使用 JDBC 操作数据库:
- 注册数据库驱动
- 建立数据库连接
- 创建 Statement 执行SQL语句
- 输出查询 ResultSet
- 关闭连接,释放资源
以下是一段使用 JDBC 操作数据库的简单代码:
2、持久层框架 Mybatis
MyBatis是一种持久层框架,用于将Java对象映射到关系数据库中的数据。它提供了一种将SQL语句与Java对象进行映射的简单方法,从而减少了开发人员编写和维护传统JDBC代码的工作量。
MyBatis的核心是一个基于XML的配置文件,其中定义了数据库连接信息、SQL语句和结果映射规则。开发人员可以通过编写简单的XML文件来定义SQL语句,并在Java代码中使用MyBatis的API来执行这些SQL语句。
MyBatis提供了丰富的功能,包括动态SQL、批处理、缓存、插件扩展等。它支持多种数据库,包括MySQL、Oracle、SQL Server等。同时,MyBatis还提供了与Spring等常用框架的集成支持,使得在企业应用中使用MyBatis变得更加方便。
总的来说,MyBatis是一种简单易用、功能丰富的Java持久层框架,可以帮助开发人员更轻松地进行数据库访问操作。
0x03 预编译 SQL
1、预编译原理
提前编译好执行逻辑或语义,攻击者所注入的语句并不会改变原有的逻辑或语义,从而预防 SQL 注入。
2、写法示例
3、不安全的写法和预编译写法的对比
//不安全写法String unsafe_sql = "select * from stu where id="+s;Statement statement = connection.createStatement();ResultSet rs = statement.executeQuery(unsafe_sql);//预编译写法String safe_sql = "select * from stu where id=?";PreparedStatement preparedStatement = connection.prepareStatement(safe_sql);preparedStatement.setString(1,s);ResultSet rs = preparedStatement.executeQuery();
0x04 Filter 过滤器
1、解释
Filter 被称为过滤器,实质上就是对 Web 资源进行拦截,做一些处理后再交给下一个过滤器或 Servlet 处理。
通常是用来拦截 Request 请求进行拦截处理的,但也可以对返回的 Response 进行拦截处理。
开发人员使用 Filter 技术,可以实现对所有 Web 资源的管理,如实现权限访问控制、过滤敏感词汇、压缩响应信息等。
在讲如何创建和使用 Filter 之前,先来看看完整的请求、响应的过程:
2、Filter 生命周期
下面通过一段 Servlet 和一段 Filter 代码来验证一下 Filter 的生命周期。
这是 Servlet 的代码:
这是 Filter 的代码:
这是 web.xml 的配置:
验证结果:
- 当中间件(项目)启动时,IDEA 控制台输出 "xss过滤开启",也就是 init 方法
- 当中间件(项目)停止时,IDEA 控制台输出 "xss过滤销毁",也就是 destroy 方法
- 当访问 /test 时,IDEA 控制台输出 "xss正在过滤",也就是 doFilter 方法
这里 Filter 是 implements 而不是 extends,以下是二者的区别:
- implements 关键字用于实现接口,继承类需要实现接口中定义的所有方法
- extends 关键字用于继承类,继承类可以使用父类的方法和属性,并可以添加新的方法和属性
但此时访问 /test?code=xxx,发现页面并没有输出 xxx,这是由于我们没有在 doFilter 方法里写上放行的代码,其默认全部禁止。
3、使用 doFilter 实现简单拦截过滤
这里修改 doFilter 方法,实现一个简单的 XSS 攻击拦截过滤:接收参数值,如果没有攻击 payload 就放行,有的话则拦截。
验证结果:
- 访问 /test?code=123,页面正常显示 code=123,也就是 doFilter 方法将其放行
- 访问 /test?code=<script>alert(1)</script>,页面无显示,IDEA 控制台输出 "存在xss攻击",也就是 doFilter 方法将其拦截
4、使用 doFilter 实现简单身份访问控制
以下为 Servlet 的代码,模拟一个管理员界面:
以下为 Filter 的代码,根据 cookie 判断是否为管理员,若是则放行,反之则拦截:
以下是 web.xml 的配置:
验证结果:
- cookie 无 user=admin 时,访问 /admin 被拦截,IDEA 控制台输出 "非法访问,已拦截"
- cookie 有 user=admin 时,正常进入 /admin 页面,IDEA 控制台输出 "欢迎进入管理员界面"
5、Filter 过滤器的安全场景
- Payload检测
- 权限访问控制
- 红队内存马植入,蓝队清理内存马等
内存马参考:深入浅出内存马(一) (qq.com)
0x05 Listener 监听器
1、解释
参考:JavaWeb监听器_javaweb 监听器-CSDN博客
监听器是Servlet规范中定义的一种特殊类,简单来说就是监听操作。
- 用来监听ServletContext、HttpSession和ServletRequest等域对象的创建和销毁事件
- 用来监听域对象的属性发生修改的事件
- 可以在事件发生前、发生后做一些必要的处理
2、使用 Listener 监听 Session 的创建、销毁
创建两个 Servlet:CreateSession、DestroySession
CreateSession 用来创建 Session:
DestroySession 用来销毁 Session:
创建一个 Listener:ListenSession,用来监听 Session 的创建、销毁
注意:配置 Listener 路由时不需要加路径,因为 Listener 不是以访问路径触发的
验证结果:
- 访问 /cs 时,IDEA 控制台输出 "Listener监听到了Session创建",触发 Listener的 sessionCreated 方法
- 访问 /ds 时,IDEA 控制台输出 "Listener监听到了Session销毁",触发 Listener的 sessionDestroyed 方法
3、Listen 监听器的安全场景
- 代码审计中分析执行逻辑触发操作
- 红队内存马植入,蓝队清理内存马等
Listen 在安全方面涉及的比较少,不像 Filter 涉及的比较多,但还是有这种类型的内存马。