Struts2安全缺陷
需积分: 0 77 浏览量
2010-09-15
15:52:35
上传
评论
收藏 129KB DOC 举报
正文
当前 java 开发网站,通常不会是纯 JSP 的,大都使用了 java framework。
有了这些 framework,让开发人员更加快速的开发出代码,也让代码非常具有可扩展性,
那些分层架构的思想,
更是深入人心。这些也大大影响了安全代码审核,曾提出“分层审核代码”的思想,比如在
DAO 层专门检查
sql 注入,在 view 层检查 xss 等。这些框架都有自己的层级,本次文章主要讲的是 struts 这
个框架的相关
安全问题,也会有小部分涉及到 struts 后面的 DAO 层。
而 struts 这个框架更新占有市场份额极大的一个框架,它在各个层级中,位于如图所示位
置:
可以看到 struts 在 web 应用中,负责处理接收用户数据,调用业务处理,以及展示数据的
工作。所以本文把
struts 的功能分为 controller 层和 view 层,controller 层来完成接收用户数据,分发用户请求,
而 view 专门
用于展示数据。
一个单独的 struts,是不合逻辑的,因为架构师通常喜欢多种框架集合,让它们各自负责
某一层的处理。
研究一个框架的安全问题,不能仅仅站在框架的角度,还应该充分考虑到开发人员是如何
使用这些框架的,
他们最喜欢写什么样的代码,这样才能还原一个正常的、完整的 web 应用场景。
从搜索结果看,互联网中,绝大多数教程推荐 struts+hibernate+spring 这样的黄金组合,那
么,我假设有
一个应用使用了这个组合,以 struts 为重点,站在攻击者的角度,层层分析 struts 的设计缺
陷。
Struts2 开发回顾与简单学习
为了让大家回顾或者学习一下 struts2,我们一起来建立一个 action、jsp 页面,做一个接收
用户输入,之后
处理一下,再展示出来给用户的过程,精通 struts2 的同学可以跳过此步。
-------------------------------------struts 回顾 start
首先建立 action,叫做 AaaaAction:
public class AaaaAction extends ActionSupport{
private String name;
剩余25页未读,继续阅读
评论0