java(Web)中相对路径,绝对路径问题总结

第一篇：java(Web)中相对路径,绝对路径问题总结

1.基本概念的理解

绝对路径：绝对路径就是你的主页上的文件或目录在硬盘上真正的路径，(URL和物理路径)例如：

C:xyztest.txt 代表了test.txt文件的绝对路径。http:///index.htm也代表了一个URL绝对路径。

相对路径：相对与某个基准目录的路径。包含Web的相对路径（HTML中的相对目录），例如：在Servlet中，“/”代表Web应用的跟目录。和物理路径的相对表示。例如：“./” 代表当前目录,“../”代表上级目录。这种类似的表示，也是属于相对路径。

另外关于URI，URL,URN等内容，请参考RFC相关文档标准。

RFC 2396: Uniform Resource Identifiers(URI): Generic Syntax,(http://和javascript中的相对地址，他们是由客户端浏览器解析的）也就是说这时候在jsp和servlet中的相对地址应该是相对于你的web应用，即相对于http://192.168.0.1/webapp/的。

其用到的地方有：

forward：servlet中的request.getRequestDispatcher(address);这个address是

在服务器端解析的，所以，你要forward到a.jsp应该这么写：

request.getRequestDispatcher(“/user/a.jsp”)这个/相对于当前的web应用webapp，其绝对地址就是：http://192.168.0.1/webapp/user/a.jsp。

sendRedirect：在jsp中<%response.sendRedirect(“/rtccp/user/a.jsp”);%>

2.22、客户端的地址

所有的html页面中的相对地址都是相对于服务器根目录(http://192.168.0.1/)的，而不是(跟目录下的该Web应用的目录)http://192.168.0.1/webapp/的。

Html中的form表单的action属性的地址应该是相对于服务器根目录(http://192.168.0.1/)的，所以，如果提交到a.jsp为：action＝“/webapp/user/a.jsp”或action=“<%=request.getContextPath()%>”/user/a.jsp；

提交到servlet为actiom＝“/webapp/handleservlet”

Javascript也是在客户端解析的，所以其相对路径和form表单一样。

因此，一般情况下，在JSP/HTML页面等引用的CSS,Javascript.Action等属性前面最好都加上

<%=request.getContextPath()%>,以确保所引用的文件都属于Web应用中的目录。

另外，应该尽量避免使用类似“.”,“./”,“../../”等类似的相对该文件位置的相对路径，这样当文件移动时，很容易出问题。

3.JSP/Servlet中获得当前应用的相对路径和绝对路径

3.1 JSP中获得当前应用的相对路径和绝对路径

根目录所对应的绝对路径:request.getRequestURI()

文件的绝对路径:application.getRealPath(request.getRequestURI());

当前web应用的绝对路径 :application.getRealPath(“/”);

取得请求文件的上层目录File(application.getRealPath(request.getRequestURI())).getParent()

3.2 Servlet中获得当前应用的相对路径和绝对路径

根目录所对应的绝对路径:request.getServletPath();

文件的绝对路径:request.getSession().getServletContext().getRealPath

(request.getRequestURI())

当前web应用的绝对路径 :servletConfig.getServletContext().getRealPath(“/”);

(ServletContext对象获得几种方式：

javax.servlet.http.HttpSession.getServletContext()

javax.servlet.jsp.PageContext.getServletContext()

javax.servlet.ServletConfig.getServletContext())

4.java 的Class中获得相对路径，绝对路径的方法

4.1单独的Java类中获得绝对路径

根据java.io.File的Doc文挡，可知:

默认情况下new File(“/”)代表的目录为：System.getProperty(“user.dir”)。

一下程序获得执行类的当前路径

package org.cheng.file;

import java.io.File;

public class FileTest {

public static void main(String[] args)throws Exception {

System.out.println(Thread.currentThread().getContextClassLoader().getResource(“"));

System.out.println(FileTest.class.getClassLoader().getResource(”“));

System.out.println(ClassLoader.getSystemResource(”“));:new

System.out.println(FileTest.class.getResource(”“));

System.out.println(FileTest.class.getResource(”/“));//Class文件所在路径

System.out.println(new File(”/“).getAbsolutePath());

System.out.println(System.getProperty(”user.dir“));

}

}

4.2服务器中的Java类获得当前路径（来自网络）

(1).Weblogic

WebApplication的系统文件根目录是你的weblogic安装所在根目录。

例如：如果你的weblogic安装在c:beaweblogic700.....那么，你的文件根路径就是c:.所以，有两种方式能够让你访问你的服务器端的文件：

a.使用绝对路径：

比如将你的参数文件放在c:yourconfigyourconf.properties，直接使用 new FileInputStream(”yourconfig/yourconf.properties“);

b.使用相对路径：

相对路径的根目录就是你的webapplication的根路径，即WEB-INF的上一级目录，将你的参数文件放

在yourwebappyourconfigyourconf.properties，这样使用：

new FileInputStream(”./yourconfig/yourconf.properties“);

这两种方式均可，自己选择。

(2).Tomcat

在类中输出System.getProperty(”user.dir“);显示的是%Tomcat_Home%/bin

(3).Resin

不是你的JSP放的相对路径,是JSP引擎执行这个JSP编译成SERVLET的路径为根.比如用新建文件法测试File f = new File(”a.htm“);

这个a.htm在resin的安装目录下

(4).如何读相对路径哪？

在Java文件中getResource或getResourceAsStream均可

例：getClass().getResourceAsStream(filePath);//filePath可以是”/filename",这里的/代表web

发布根路径下WEB-INF/classes

默认使用该方法的路径是：WEB-INF/classes。已经在Tomcat中测试。

5.读取文件时的相对路径，避免硬编码和绝对路径的使用。（来自网络）

5.1 采用Spring的DI机制获得文件，避免硬编码。

参考下面的连接内容：

java文件操作详解（Java中文网）

总结：

通过上面内容的使用，可以解决在Web应用服务器端，移动文件，查找文件，复制删除文件等操作，同时对服务器的相对地址，绝对地址概念更加清晰。

建议参考URI,的RFC标准文挡。同时对Java.io.File.Java.net.URI.等内容了解透彻对其他方面的理解可以更加深入和透彻。

====================================

参考资料:

java/docs/

java.io.File

java.io.InputStream

java.io.OutputStream

java.io.FileInputStream

java.io.FileReader;

java.io.FileOutputStream

java.io.FileWriter;

java.net.URI

java.net.URL

绝对路径与相对路径祥解

[『J道习练』]JSP和Servlet中的绝对路径和相对路径

通过Spring注入机制，取得文件

Java文件操作详解

第二篇：javaWeb总结+小结

JavaWeb B/S与C/S的区别

1，从安装上来讲，B/S只需要在服务器端安装即可，而C/S却需要每一个客户端进行安装。2，从部署上来说，B/S只需要服务器能够支持即可，而C/S却对每一个客户端的电脑提出了要求。

3，从升级，维护角度来说，B/S只需要在服务器端升级维护即可，像网易的邮箱，而C/S却是服务器更新维护一次，客户端就要下载相关的补丁才能使用 4，从安全性来讲，B/S是基于服务器的，较之C/S安全性好

5，从本质上来说，B/S是基于请求驱动的，即客户端发送一个Http请求，然后服务器进行处理之后，响应给客户端，而C/S却是基于事件驱动的，像腾讯的QQ。

6，从耦合度来讲，B/S与服务器端耦合，而C/S却是与客户端的操作系统进行耦合。但是Client/Server（从游戏的角度来讲）较之Brows/Server具有优质的画面。

Servlet的使用步骤：

1，创建一个JAVA类，存放在com.fit.servlet包中，并且此类extends HttpServlet类，才能成为一个Servlet 2，覆写doGet()和doPost()方法

3，最后，在web.xml文件中进行Servlet配置。具体的配置如下：

Servlet类名

完整的包.类名称

Servlet类名

网页访问的名称，例如/hello Servlet的生命周期，作用，并说出和CGI（Common Gateway Interface)的区别

就是指Servlet从创建出实例对象到销毁的过程。它是一个容器，负责创建实例来接受客户端的请求，并且以多线程的方式响应给客户。具体过程如下：

Servlet被服务器实例化之后，容器运行其init方法进行初始化，请求到达时运行其service方法，在此过程中仅创建一个对象，然后service方法自动调用与请求相应的doXxx方法，当服务器决定将实例进行销毁时，再调用其destroy方法。

与CGI（通用网关接口）的区别在于，Servlet处于服务器进程中，它通过多线程的方式运行其service方法，一个实例可以服务于多个请求，并且其实例一般不会销毁，而CGI对每一个请求都产生新的进程，服务完成后就销毁，所以效率低于Servlet 作用：可以用来进行接收客户端的请求，也可以进行请求流的控制。

Http协议：（了解）

首先它是（Hypertext Transfer Protocol）超文本传输协议。

HTTP报文由从客户机到服务器的请求和从服务器到客户机的响应构成。请求报文格式如下：

请求行 － 通用信息头 － 请求头 － 实体头 － 报文主体

请求行以方法字段开始，后面分别是 URL 字段和 HTTP 协议版本字段，并以 CRLF 结尾。

应答报文格式如下：

状态行 － 通用信息头 － 响应头 － 实体头 － 报文主体

状态码元由3位数字组成，表示请求是否被理解或被满足。原因分析是对原文的状态码作简短的描述，状态码用来支持自动操作，而原因分析用来供用户使用。客户机无需用来检查或显示语法。工作流程：

一次HTTP操作称为一个事务，其工作过程可分为四步：

首先客户机与服务器需要建立连接。只要单击某个超级链接，HTTP的工作就开始了。

建立连接后，客户机发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容。

服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。

客户端接收服务器所返回的信息通过浏览器显示在用户的显示屏上，然后客 户机与服务器断开连接。

Javascript的作用：

1，进行验证（通过正则表达式，在css+HTML的部分特性进行浏览器端的格式验证工作）

2，进行交互（将客户端的一个请求通过JavaScript可以发送到服务器端，也可以在浏览器端进行人机的交互，突破了以前静态页面的交互性限制）3，进行特效的处理，如走马灯，时间时钟。

Servlet生命周期：（详细）是指Servlet实例从被创建到其消失（对象销毁，回收）中间的时间及各个阶段，称之为Servlet生命周期。

前提：web服务器加载类。之后执行以下过程：

1,实例化：Servlet容器创建Servlet实例，具体就是当接收到客户端的第一次请求时，Servlet容器负责创建Servlet的一个实例。且在此过程中仅创建一个实例，通过多线程的方式响应客户端的请求

2,初始化：该容器调用init()方法。

3,服务：当请求到达时，该Servlet容器自动调用server()方法，根据客户端发送请求的方式，选择doXxx()方法执行

4,销毁：当web服务器被卸载的时候，调用destroy()方法进行对象的销毁。请看以下的一段代码： package com.fit.servlet;import java.io.IOException;import javax.servlet.ServletException;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;public class Test extends HttpServlet { private static final long serialVersionUID = 1L;

public Test(){

super();

System.out.println(“===========================”);

} public void destroy(){

System.out.println(“对象被销毁！”);} public void init()throws ServletException {

System.out.println(“对象初始化！”);} protected void doGet(HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException {

System.out.println(“get方法执行”);} protected void doPost(HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException {

this.doGet(request, response);} protected void service(HttpServletRequest arg0, HttpServletResponse arg1)

throws ServletException, IOException {

System.out.println(“服务开始启动了！”);

super.service(arg0, arg1);}

}运行效果如下：

=========================== 对象初始化！服务开始启动了！

get方法执行

2011-7-19 12:07:04 org.apache.catalina.core.StandardContext reload 信息: Reloading this Context has started 对象被销毁！

分析原因：

1,实例化对象发生在客户端请求第一次到达的时候，而不是类被加载的时候。2,对象只被实例化一次.3,如果service()被覆写的话，则调用的时候加入super.service(arg0, arg1);这句话时候才可以清楚的调用的doXxx()方法，如果不加入此句话，那么将不会执行doGet()方法。所以一般不要覆写service()方法。只需要覆写doGet()和doPost()方法。

4,当web服务器被卸载的时候，将执行destroy()方法。进行对象的销毁！

Jsp页面构成元素，Jsp跟Html的区别，优势

Jsp定义：（Java Server Page）Java服务器端语言，组成如下： 1，静态模板：由HTML，css,JavaScript等元素构成。

2，指令：设定网页元素的属性，用于提供这个歌JSP网页的相关信息。

3，脚本元素--声明：<%!...%>,在此之中可以进行变量，常量的定义，类，方法都可以声明，但是一般不用。

4，脚本元素--Java脚本：<%...%>,在此期间可以进行Java代码的拼写。5，脚本元素--表达式：<%=..%>,用于表达式输出时使用。

6，动作：利用JSP动作可以重用JavaBean组件，可以动态的包含页面，也可以进行服务器端的跳转（即将用户的请求转发给其他的页面）。7，注释：

--HTML注释：,此种注释可以在页面中看到，成为客户端注释。--Jsp注释：<%----%>,此种注释在页面中看不到，也成为服务器端注释。--Java注释：

单行注释：// 多行注释：/*„„„*/ Jsp优点：使用HTML，CSS等技术构建页面的模板部分，用Java语言根据用户的输入动态生成可变的内容部分。既可以实现HTML控制页面布局，也亦可以实现Servlet的功能，实现了内容与表示分离。Jsp的常见指令，并说出静态包含和动态包含的区别

Page指令：<%@ page language=”java” import=” 完整的包.类名称” autoFlush=”true[false]” errorPage=”文件名” isErrorPage=”false[true]” isThreadSafe(设置是否能多线程使用)contentType=”text/html;charset=ISO-8859-1” %> 包含指令：<%@ include file=”文件名”%> taglib指令：此指令用于在Jsp页面中引入用户自定义的标签库。例如： <@% taglib url=http://java.sun.com/jsp/jstl/core prefix=”c”%> 静态包含跟动态包含的区别：

<%@ include file=”文件名%>，此包含属于静态包含，是指先将文件包含进来然后在进行编译，编译后生成的class文件中，被包含的文件在静态块中。且此种包含不允许带参数。

此种包含属于动态包含，先解释再包含进来结果，即只有在客户端进行请求时才会被动态的编译载入，在生成的class类中，它被请求一次就被创建一次。且此种被包含页面可以取得包含它的页面的参数。

Jsp常见的动作，调用JavaBean相关：

，调用此动作，可以用于实例化JavaBean，或者定位一个已经存在的JavaBean的实例，并把实例的引用赋给一个变量。

，通过这个动作可以取得JavaBean对象的属性

或者通过此动作，可以用来设置JavaBean的简单属性和索引属性，此动作的name属性必须与总的id属性相匹配。当JavaBean的属性名与请求参数名相同的情况下，可以使用property=“*”的方式为多个JavaBean的属性同时赋值，如： jsp页面通信：

:此动作用来在当前Jsp包含动态和静态文件的输出结果，可以和配合使用，向嵌入的Jsp页面传递参数

：此动作用来从当前Jsp页面转向其他页面，并传递Request对象，response对象，该标签后面的代码将不会被执行。Jsp的内置对象，四种作用域的通信对象的范围

输入/输出对象

request：表示客户端对网页的请求

response：用于处理Jsp生成的响应，使用Http协议将响应发送给客户端。

out：表示从response中取得的输出流。常用的方法有write(),print(),println()等，用于在页面中输出文本形式的响应内容 作用域通信对象

pageContext：此通信对象的作用域仅在当前页面有效，一旦跳转则不可用

request：此通信对象的作用域针对的同一个客户的请求，如果不是同一个请求则不可以使用

session：此通信对象的作用域适用于一次会话，即打开的同一个浏览器的所有页面都可以适用

application：此通信对象的作用域适用于基于WEB服务器的所有会话，适用于监听器 Servlet对象

page：指向当前Jsp页面经过转译（jsp.java文件），编译(.java文件.class文件)后的对象本身，即编译后的Servlet对象本身

config：是在一个Servlet初始化时，服务器向它传递的初始化信息。初始化信息可以在web.xml中找到。错误对象

execption：表示Jsp页面运行时抛出的异常对象，可以在专门准备的错误处理页面中访问这个异常对象。

Jsp执行过程：

jsp文件转译：当客户端请求一个正确的Jsp文件时，将Jsp—>.java文件(即将Jsp文件翻译成相应的Servlet类的源文件)编译：.java文件.class文件，即将Servlet类的源文件进行编译成为.class的Servlet文件。调用Servlet的service()方法响应用户的请求。

描述Jsp和Servlet的区别，共同点，各自的应用范围：

1，从发展上来看，Jsp可以避开Servlet的输出页面的繁琐步骤，它集合了HTML和Servlet的优点。

2，从本质上来说，Jsp是Servlet的扩展，它是Servlet的简易形式。Jsp经过转译之后就成为了类Servlet。

3，从创建方式上来说：Jsp由HTML代码和JSP标签构成，而Servlet则完全是由程序代码构成擅长于流程控制和事务处理的类

4，从使用角度来说：在MVC中，Jsp担任的是VIEW层，侧重于视图，而Servlet则充当的控制层，侧重于控制逻辑。请求转发和重定向

 response.sendRedirect()：利用response对象向客户端发回一个响应指示其访问其他URL资源，或者说是一个web组件向另一个web组件发送一个新的请求，属于重定向，地址栏有变化。且不可以传递属性request参数，当所有的代码执行完之后才进行重定向。

request.getRequestDispatcher().forword(req,resp)：web组件将一个请求转发给另一个web组件，他们始终是同一个请求，在此期间可以传递request属性参数，地址栏没有变化。且一执行到此代码处，后边的将不再执行

JavaBean的组成：

类必须是具体的，公共的。提供无参数的构造方法

提供getter()和setter()方法访问它的属性。版权所有@杨肖飞yangxf159371@126.com

第三篇：Javaweb期末试卷总结版2

Java Web试题 JAVA WEB部分: 1.基于HTTP协议的Servlet通常继承__C______, 也可以继承__B______。这些类型都实现了接口___A_____。

A.javax.servlet.Servlet

B.javax.servlet.GenericServlet C.javax.servlet.http.HttpServlet 2.我们实现的基于HTTP协议的Servlet的服务方法签名正确的有__

BCD_____________。

A.public void doGet(ServletRequest req, ServletResponse res)throws IOException, ServletException B.public void doPost(HttpServletRequest req, HttpServletResponse res)throws IOException, ServletException C.public void service(HttpServletRequest req, HttpServletResponse res)throws IOException, ServletException D.public void service(ServletRequest req, ServletResponse res)throws IOException, ServletException

重写服务方法,一般是以下两种方式: doGet(HttpServletRequest req,HttpServletResponse res)doPost(HttpServletRequest req,HttpServletResqonse res)

HttpServlet继承自GenericServlet,其中的service方法自动实现； GenericServlet的调用方法： 容器

-->service(ServletRequest req,ServletResponse res)-->service(HttpServletRequest req,HttpServletResponse res)-->METHOD=“GET”-->doGet(HttpServletRequest req,HttpServletResponse res)-->METHOD=“POST”-->doPost(HttpServletRequest req,HttpServletResponse res)

API中有D这个方法

3.在Servlet中要输出内容，使用HttpServletResponse的方法_setContentType 设置内容，对于文本类型调用方法__ getWriter _获得一个___ PrintWriter ___的输出流，对于二进制类型调用_ getOutputStream 获得_ ServeltOutputStream _的输出流。调用HttpServletRequest的方法_ getParameter 解析有名参数，调用_ getInputStream 获得一个_ ServletInputStream _的输入流。在Servlet中也可以调用_ ServletContext 和_ HttpServletRequest _的方法_ getRequestDispatcher __获得__ RequestDispatcher __, 将请求的处理权交给一个新的资源。A.ServletInputStream

B.ServletContext

C.HttpServletRequest D.setContentType

E.getInputStream

F.getOutputStream G.getRequestDispatcher H.RequestDispatcher

I.getParameter J.ServeltOutputStream K.getWriter

L.PrintWriter

4.控制一个Servlet的生命周期的方法有__C______, _____B___和____A____。其中 ___C_____在所有的请求到来之前调用，____A____在撤消应用或关闭web container时调用。Servlet通常只有一个实例，被所有的访问者共享，因此要注意资源的同步。A.destroy

B.service

C.init 5.以下是部署在主机”%> C.

D.

E.<% int i = 10;%>

F.<%!int i = 10;%> G.< %@taglib uri=”http://java.sun.com/jstl/core” prefix=”c”%> H.<%=new java.util.Date()%> I. J.<% response.sendRedirect(“http://www.xiexiebang.com”);%> K.<%@page contentType=”text/html;charset=gb2312”%>

11.在directive page中，__B______属性可反复出现，___AC_____属性的却省值为true, ____E____属性的值指向处理异常的页面，______D__表示激活EL。A.autoFlush

B.import

C.session D.isELIgnored=false

E.errorPage

jsp的page指令(directive)

jsp的page指令(directive)影响着由JSP页面生成的Servlet的整体结构！page指令的功能包括(1)类的导入（2）Servlet父类的制定（3）内容类型的设置（4）页面会话的设置（5）页面缓冲的设置

（6）错误页面的设置（7）控制线程行为

page属性（attribute）值的两边的双引号也可以用单引号代替，单引号不能省略，若属性值本身含有引号，则在它们之前加上反斜杠来转义。

page 的几个重要的指令:1.import 唯一的一个允许多次出现的attirbute.默认情况下有以下几个是自动导入的包，java.lang.*;java.servelt.*;javax.servlet.jsp.*;javax.servlet.http.*!2.pageEncoding用来单独设置页面的字符集。%@page pageEncoding=“GB2312”% 3.contentType设置响应报头标明发送到客户端的MIME类型和页面字符集！<%@ page contentType=“text/html;charset=gb2312”%> 4.session 属性控制页面的会话特性！%@page session=“true|false”%

默认值为true.5.buffer 和 autoFlush 属性

buffer 设置缓冲区的大小 <%@ page buffer=“sizekb|none”%>

autoFlush 当缓冲区满后自动清空！%@page autoFlush=“true|false”% 默认值为true,为false时会抛出一个异常。

6.errorPage 和isErrorPage(attribute)<%@page errorPage=“RelativeURL ”%>指定一个页面处理当前页面抛出但未捕获的异常对象。

%@page isErrorPage=“true|false”% 表明当前页面是否可以作为其他jsp页面的错误页面。可以将此页面放在WEB-INF目录中，有助于提高程序的安全性。

1、<%@ page buffer=“25kb” autoFlush=“true” %>

2、buffer=“none | 8kb | sizekb” buffer的大小被out对象用于处理执行后的JSP对客户浏览器的输出。缺省值是8kb

3、autoFlush=“true | false” 设置如果buffer溢出，是否需要强制输出，如果其值被定义为true(缺省值)，输出正常，如果它被设置为false,如果这个buffer溢出，就会导致一个意外错误的发生.如果你把buffer设置为none,那么你就不能把autoFlush设置为false.12.有一个JavaBean com.briup.Student, 在JSP中用action在session作用域里创建一个对象hellen的语句是_______。

什么是JavaBean?(参见文档)

13.以下_ABCD_______是JSP中正确的注释：

A.<%--comments--%> 真正的注释

B.<% //comments %> C. 会写在页面当中

D.<%!/* comments */ %> JAVA中的单行和多行注释

14.以下__AB______是错误的：

A.<%!int i = 10;int j = 10;i += j;%> B.<% int getHash(String str){ return str.hashCode();} %> 声明脚本 C.<%!class A { void print(){System.out.println(“in A”);}} %> 15.在JSP中有很多隐含变量，request的类型是C_javax.servlet.http.HttpServletRequest______, response的类型是_I__javax.servlet.http.HttpServletResponse__, page的类型是__E__javax.servelet.jsp.JspPage_,pageContext的类型是__B__javax.servlet.jsp.PageContext____, session的类型是_D__javax.servlet.http.HttpSession_____, application的类型是____G__ javax.servlet.ServletContext__, config的类型是__F_javax.servlet.ServletConfig_, out的类型是_H__ javax.servlet.jsp.JspWriter_____, exception的类型是___A__java.lang.Throwable___。A.java.lang.Throwable

B.javax.servlet.jsp.PageContext C.javax.servlet.http.HttpServletRequest

D.javax.servlet.http.HttpSession E.javax.servelet.jsp.JspPage

F.javax.servlet.ServletConfig G.javax.servlet.ServletContext H.javax.servlet.jsp.JspWriter I.javax.servlet.http.HttpServletResponse

参见PDF97页

16.JSP在处理客户请求前会被编译成servlet, JSP中declaration中定义的变量和方法在运行时成为对应servlet的___B_____变量和方法;scripting会成为服务方法____C____的语句。JSP的生命周期受到____A____,___C_____和___D_____的控制。A.jspInit

B.member

C._jspService

D.jspDestroy

调出一个编译后的JSP文件给学生看

D:JAVATomcat-5.5.25workCatalinalocalhostRunCommunityorgapachejsppages

17.在web应用webdev的WEB-INF的目录下有一个标签库描述文件sample.tld, 其内容部分如下:

hello

com.tarena.tags.HelloTag

empty

user

true

false

java.lang.String

在hello.jsp中要使用标签hello, 因此必须先引入该标签库，语句是__<%@taglib uri=”/WEB-INF/sample.tld” prefix=”s”%>_____。要用hello标签在页面上给”world“打招呼的语句是________________。

18.在web应用webdev的WEB-INF/tags目录下放置了一些标签文件，用前缀”me”引入这些标签到一个jsp的 directive taglib的表达式是___<%@taglib tagdir=”/WEB-INF/tags” prefix=”me”%>__。

19.一个没有body的标签其tag handler要实现接口__C______;如果某个标签有body, 但标签不与body交互，tag handler要实现接口___E_____, 如果要与body交互，tag handler要实现接口____D____。通常前两种情况的tag handler会继承___A_____, 最后一种情况tag handler会继承_____B___。

A.javax.servlet.jsp.tagext.TagSupport B.javax.servlet.jsp.tagext.BodyTagSupport C.javax.servlet.jsp.tagext.Tag D.javax.servlet.jsp.tagext.BodyTag E.javax.servlet.jsp.tagext.IterationTag 20.在EL中以下____B____可以获得requestURI：

A.${requestScope.request.requestURI} B.${pageContext.request.requestURI} C.${requestScope.requestURI} 21.EL中可使用一些隐含对象，通过____C____可以访问request中的属性(attriubte), 通过___A_____可以访问session中的属性, 通过___B_____可以访问application中的属性, 通过___D_____可以访问浏览器输入的参数，通过____G____可以访问请求头中的参数，通过____E____可以访问web应用的参数，通过____F____可以访问cookie。A.sessionScope

B.applicationScope

C.requestScope D.param

E.initParam

F.cookie G.header 22.在EL中能够访问的函数(function)必须是_____A___。

A.public static

B.protected

C.protected static D.public static void

F.protected static void 23.在EL中访问JavaBean Student的对象smallTank的属性name正确的是__ABC______。A.${smallTank.name}

B.${smallTank[„name‟]} C.${smallTank[“name”]}

D.${smallTank(„name‟)}

SESSION AAA=”aa”

APPLICATION(aa=”hhhh”)

applicationScope['aa'] 此种情况只能用方括号

24.Struts提供MVC的一个实现，是Java Web应用的一个框架(Framework).它主要采用了____D____模式。浏览器请求被控制器servlet ___A_____截取，控制器将浏览器表单的输入封装到____F____类型的JavaBean对象中，如果应用需要作合法性检测，该类型的____G____方法会被调用，该方法的返回类型是_____B___。如果合法性检测正确，控制器会将调用类型为____H____对象的方法__E______处理请求，该方法返回类型为____C____。A.org.apache.struts.action.ActionServlet

B.org.apache.struts.action.ActionErrors C.org.apache.struts.action.ActionForward

D.command

E.execute F.org.apache.struts.action.ActionForm G.validate H.org.apache.struts.action.Action 25.使用Tomcat，我们通常会设置环境变量_C_ CATALINA_HOME_指向安装目录;web应用的却省部署目录在安装目录下的___A__webapps___子目录；如果有多个web应用共享的包如数据库驱动程序，我们应该将其放置在安装目录的__D__common/lib__子目录；Tomcat的主要配置文件是安装目录下__B_conf _子目录下的___F__server.xml___；Tomcat 5的应用相关的配置文件放在安装目录下___E__conf/Catalina/___子目录。A.webapps

B.conf

C.CATALINA_HOME D.common/lib

E.conf/Catalina/ F.server.xml

第四篇：javaWeb安全验证漏洞修复总结

EMA服务管理平台二期扩容安全验收

漏洞修复总结

2011年5月

中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

目 录 2 WEB安全介绍..........................................................................................................................1 SQL注入、盲注.......................................................................................................................1 2.1 SQL注入、盲注概述.................................................................................................................1 2.2 2.4 3 安全风险及原因...................................................................................................................2 应用程序解决方案...............................................................................................................4 2.3 APPSCAN扫描建议......................................................................................................................2

会话标识未更新.......................................................................................................................7 3.1 3.2 3.4 会话标识未更新概述...........................................................................................................7 安全风险及原因分析...........................................................................................................8 应用程序解决方案...............................................................................................................8 3.3 APPSCAN扫描建议......................................................................................................................8 已解密登录请求.......................................................................................................................9 4.1 4.2 4.4 已解密登录请求概述...........................................................................................................9 安全风险及原因分析...........................................................................................................9 应用程序解决方案...............................................................................................................9 4.3 APPSCAN扫描建议......................................................................................................................9 跨站点请求伪造.....................................................................................................................11 5.1 5.2 5.4 跨站点请求伪造概述.........................................................................................................11 安全风险及原因分析.........................................................................................................12 应用程序解决方案.............................................................................................................13 5.3 APPSCAN扫描建议....................................................................................................................13 不充分账户封锁.....................................................................................................................13 6.1 6.2 6.4 不充分账户封锁概述.........................................................................................................13 安全风险及原因分析.........................................................................................................13 应用程序解决方案.............................................................................................................14 6.3 APPSCAN扫描建议....................................................................................................................14 启用不安全HTTP方法...........................................................................................................14 7.1 7.2 7.4 启用不安全HTTP方法概述...............................................................................................14 安全风险及原因分析.........................................................................................................15 应用程序解决方案.............................................................................................................15 7.3 APPSCAN扫描建议....................................................................................................................15 HTTP注释敏感信息...............................................................................................................16 8.1 HTTP注释敏感信息概述........................................................................................................16 8.2 8.4 安全风险及原因分析.........................................................................................................16 应用程序解决方案.............................................................................................................17 8.3 APPSCAN扫描建议....................................................................................................................16 发现电子邮件地址模式.........................................................................................................17

中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

9.1 9.2 9.4 10 发现电子邮件地址模式概述.............................................................................................17 安全风险及原因分析.........................................................................................................17 应用程序解决方案.............................................................................................................17 9.3 APPSCAN扫描建议....................................................................................................................17

通过框架钓鱼.........................................................................................................................20

通过框架钓鱼概述.............................................................................................................20 安全风险及原因分析.........................................................................................................20 APPSCAN扫描建议...............................................................................................................21 应用程序解决方案.............................................................................................................23 10.1 10.2 10.3 10.4 11 检查到文件替代版本.............................................................................................................25

检查到文件替代版本概述.................................................................................................25 安全风险及原因分析.........................................................................................................26 APPSCAN扫描建议...............................................................................................................26 应用程序解决方案.............................................................................................................26 11.1 11.2 11.3 11.4

中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结 Web安全介绍

目前很多业务都依赖于互联网，例如说网上银行、网络购物、网游等，很多恶意攻击者出于不良的目的对Web 服务器进行攻击，想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样，Web业务平台最容易遭受攻击。同时，对Web服务器的攻击也可以说是形形色色、种类繁多，常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。

一方面，由于TCP/IP的设计是没有考虑安全问题的，这使得在网络上传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进程缓冲区溢出，攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序，甚至安装和运行恶意代码，窃取机密数据。而应用层面的软件在开发过程中也没有过多考虑到安全的问题，这使得程序本身存在很多漏洞，诸如缓冲区溢出、SQL注入等等流行的应用层攻击，这些均属于在软件研发过程中疏忽了对安全的考虑所致。

另一方面，用户对某些隐秘的东西带有强烈的好奇心，一些利用木马或病毒程序进行攻击的攻击者，往往就利用了用户的这种好奇心理，将木马或病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中，然后把这些文件置于某些网站当中，再引诱用户去单击或下载运行。或者通过电子邮件附件和QQ、MSN等即时聊天软件，将这些捆绑了木马或病毒的文件发送给用户，利用用户的好奇心理引诱用户打开或运行这些文件、SQL注入、盲注 2.1 SQL注入、盲注概述

Web 应用程序通常在后端使用数据库，以与企业数据仓库交互。查询数据库事实上的标准语言是 SQL（各大数据库供应商都有自己的不同版本）。Web 应用程序通常会获取用户输入（取自 HTTP 请求），将它并入 SQL 查询中，然后发送到后端数据库。接着应用程序便处理查询结果，有时会向用户显示结果。如果应用程序对用户（攻击者）的输入处理不够小心，攻击者便可以利用这种操作方式。在此情况下，攻击者可以注入恶意的数据，当该数据并入 SQL 查询中时，就将查询的原始语法更改得面目全非。例如，如果应用程序使用用户的输入（如用户名和密码）来查询用户帐户的数据库表，以认证用户，而攻击者能够将恶意数据注入查询的用户名部分（和/或密码部分），查询便可能更改成 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

完全不同的数据复制查询，可能是修改数据库的查询，或在数据库服务器上运行 Shell 命令的查询。2.2 安全风险及原因

高风险漏洞，攻击者可能会查看、修改或删除数据库条目和表

原因：未对用户输入正确执行危险字符清理

2.3 AppScan扫描建议

若干问题的补救方法在于对用户输入进行清理。通过验证用户输入未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令，等等。建议过滤出所有以下字符： [1] |（竖线符号）[2] &（& 符号）[3];（分号）

[4] $（美元符号）[5] %（百分比符号）[6] @（at 符号）[7] '（单引号）[8] “（引号）

[9] '（反斜杠转义单引号）[10] ”（反斜杠转义引号）[11] <>（尖括号）[12]()（括号）[13] +（加号）

[14] CR（回车符，ASCII 0x0d）[15] LF（换行，ASCII 0x0a）[16] ,（逗号）[17]（反斜杠）

以下部分描述各种问题、问题的修订建议以及可能触发这些问题的危险字符： SQL 注入和 SQL 盲注：

A.确保用户输入的值和类型（如 Integer、Date 等）有效，且符合应用程序预期。

B.利用存储过程，将数据访问抽象化，让用户不直接访问表或视图。当使用存储过程时，请利用 ADO 命令对象来实施它们，以强化变量类型。C.清理输入以排除上下文更改符号，例如： [1] '（单引号）[2] “（引号）

[3] '（反斜线转义单引号）中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

[4] ”（反斜杠转义引号）[5])（结束括号）[6];（分号）跨站点脚本编制：

A.清理用户输入，并过滤出 JavaScript 代码。我们建议您过滤下列字符： [1] <>（尖括号）[2] “（引号）[3] '（单引号）[4] %（百分比符号）[5];（分号）[6]()（括号）[7] &（& 符号）[8] +（加号）

B.如果要修订 <%00script> 变体，请参阅 MS 文章 821349 C.对于 UTF-7 攻击： [-] 可能的话，建议您施行特定字符集编码（使用 'Content-Type' 头或 标记）。

HTTP 响应分割：清理用户输入（至少是稍后嵌入在 HTTP 响应中的输入）。请确保输入未包含恶意的字符，例如： [1] CR（回车符，ASCII 0x0d）[2] LF（换行，ASCII 0x0a）远程命令执行：清理输入以排除对执行操作系统命令有意义的符号，例如： [1] |（竖线符号）[2] &（& 符号）[3];（分号）

执行 shell 命令：

A.绝不将未检查的用户输入传递给 eval()、open()、sysopen()、system()之类的 Perl 命令。

B.确保输入未包含恶意的字符，例如： [1] $（美元符号）[2] %（百分比符号）[3] @（at 符号）

XPath 注入：清理输入以排除上下文更改符号，例如： [1] '（单引号）[2] ”（引号）等 LDAP 注入：

A.使用正面验证。字母数字过滤（A..Z,a..z,0..9）适合大部分 LDAP 查询。B.应该过滤出或进行转义的特殊 LDAP 字符： [1] 在字符串开头的空格或“#”字符 [2] 在字符串结尾的空格字符 [3] ,（逗号）[4] +（加号）[5] “（引号）[6]（反斜杠）[7] <>（尖括号）中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

[8];（分号）[9]()（括号）MX 注入：

应该过滤出特殊 MX 字符： [1] CR（回车符，ASCII 0x0d）

[2] LF（换行，ASCII 0x0a）记录伪造： 应该过滤出特殊记录字符： [1] CR（回车符，ASCII 0x0d）[2] LF（换行，ASCII 0x0a）[3] BS（退格，ASCII 0x08）ORM 注入：

A.确保用户输入的值和类型（如 Integer、Date 等）有效，且符合应用程序预期。

B.利用存储过程，将数据访问抽象化，让用户不直接访问表或视图。C.使用参数化查询 API D.清理输入以排除上下文更改符号，例如：(*)： [1] '（单引号）[2] ”（引号）

[3] '（反斜线转义单引号）[4] “（反斜杠转义引号）[5])（结束括号）[6];（分号）2.4 应用程序解决方案

1、我们为了调试方便，在页面上会抛出数据库异常信息，如果入侵工具获取了这些信息，就可以获取系统的一些配置信息，如web系统框架、采用的数据库等，从而找出系统漏洞。所以不要在页面上抛出异常的详细信息，这些信息对客户并没有用，只是方便技术人员调试罢了，处理方法是在异常处理页面把打印异常代码删除即可；

2、新建一个过滤器，通过过滤器过滤SQL注入特殊字符，配置成功后，重启服务，用Appsan工具扫描，漏洞得到解决，通过过滤器可以解决SQL注入、跨站点脚本编制及通过框架钓鱼等问题，具体实现方式如下：

1、在web.xml文件中配置过滤器

requestEncodingFilter /* InjectFilter com.sitech.ismp.util.context.InjectFilter lass> 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

2、过滤器过滤代码

public class InjectFilter extends IsmpServletFilter {

private String failPage = ”/loginout.jsp“;//发生注入时，跳转页面

public void doFilter(ServletRequest request,ServletResponse response，FilterChain filterchain)throws IOException, ServletException { //判断是否有注入攻击字符

HttpServletRequest req =(HttpServletRequest)request;

String inj = injectInput(req);if(!inj.equals(”“)){ request.getRequestDispatcher(failPage).forward(request, return;response);} else { // 传递控制到下一个过滤器

filterchain.doFilter(request, response);} } /** * 判断request中是否含有注入攻击字符 * @param request * @return */ public String injectInput(ServletRequest request){

Enumeration e = request.getParameterNames();String attributeName;String attributeValues[];String inj = ”“;

while(e.hasMoreElements()){ attributeName =(String)e.nextElement();//不对密码信息进行过滤，一般密码中可以包含特殊字符

if(attributeName.equals(”userPassword“)||attributeName.equals(”co

||attributeName.equals(“password”)||attributeName.equals(“PASSWOR continue;nfirmPassword”)||attributeName.equals(“PASSWORD”)D2“)||attributeName.equals(”valiPassword“)){ 5 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

}

attributeValues = request.getParameterValues(attributeName);

for(int i = 0;i < attributeValues.length;i++){

if(attributeValues[i]==null||attributeValues[i].equals(”“))

continue;

inj = injectChar(attributeValues[i]);

if(!inj.equals(”“)){

return inj;

}

} } return inj;} /** * 判断字符串中是否含有注入攻击字符 * @param str * @return */ public String injectChar(String str){

String inj_str = ”“)' * %”;String inj_stra[] = inj_str.split(“ ”);

for(int i = 0;i < inj_stra.length;i++){ if(str.indexOf(inj_stra[i])>=0){ return inj_stra[i];} } return “";}

}

中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结 会话标识未更新 3.1 会话标识未更新概述

“会话固定”是一种攻击技术，会强制用户的会话标识变成显式值。固定会话标识值的技术有许多种，会随着目标 Web 站点的功能而不同。从利用“跨站点脚本编制”到向 Web 站点密集发出先前生成的 HTTP 请求，都在这些技术范围内。用户的会话标识固定之后，攻击者会等待用户登录，然后利用预定义的会话标识值来假定用户的联机身份。

一般而言，对于标识值的会话管理系统有两种类型。第一种类型是“宽容”系统，可让 Web 浏览器指定任何标识。第二种类型是“严格”系统，只接受服务器端生成的值。当使用宽容系统时，不需要联系 Web 站点，便可以维护任何会话标识。在严格系统中，攻击者需要维护“陷阱会话”并且必须定期联系 Web 站点，才能防止闲置超时。对于会话固定，倘若没有活动保护，使用会话来识别已认证的用户的任何 Web 站点都可能受到攻击。使用会话标识的 Web 站点通常都是基于 cookie 的站点，但也会使用 URL 和隐藏的表单字段。不幸的是，基于 cookie 的会话最容易受到攻击。目前已识别的大多数攻击方法都是针对 cookie 的固定。相对于在用户登录 Web 站点之后，再窃取用户的会话标识，会话固定提供的机会多得多。

在用户登录之前，攻击的活动部分便已启动。

会话固定攻击过程通常由三个步骤组成：

1)安装会话

攻击者针对目标 Web 站点设下“陷阱会话”，并获取这个会话的标识，攻击者也可以选择攻击中所用的任意会话标识。在某些情况下，必须反复联系 Web 站点，才能维护确定好的陷阱会话值。

2)固定会话

攻击者将陷阱会话值引进用户的浏览器中，固定用户的会话标识。

3)进入会话

用户登录目标 Web 站点之后，当使用固定会话标识值时，攻击者便可加以接管。”

修改

对于这类问题解决方案为在用户进入登录页面时清空session让cookie过期

request.getSession(true).invalidate();//清空session Cookie cookie = request.getCookies()[0];//获取cookie cookie.setMaxAge(0);//让cookie过期

另外一种方式利用JSP的一些特性，不让登录页面产生Session <% page session=”false” %> 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

3.2 安全风险及原因分析

高风险漏洞，可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务

原因：Web 应用程序编程或配置不安全

3.3 AppScan扫描建议

始终生成新的会话，供用户成功认证时登录。防止用户操纵会话标识。

请勿接受用户浏览器登录时所提供的会话标识

3.4 应用程序解决方案

会话标识未更新，Appscan给出的描述是建议用户每次登录时需使用新的会话标识。应用程序实现上就是在登录模块，添加以下代码，即用户登录后，重新生成会话。

HttpSession session = request.getSession(false);if(session!=null){ //让cookie过期

session.invalidate();

Cookie cookie = request.getCookies()[0];//获取cookie

cookie.setMaxAge(0);//让cookie过期 } request.getSession(true);//生成新会话

经过测试，这段代码只在weblogic和tomcat下才有效，在公司中间件webspeed及jboss6.0下问题都依然存在，但从扫描的结果信息分析看，漏洞已经解决，分析判断应该只是session处理机制不同，AppScan工具仍认为存在漏洞风险。在与电信沟通中我们存在一个经验教训大家一定要吸取，不能过渡迷信流行的自动化测试工具，尤其是对于Appscan这种判断防御行为的复杂软件，仅靠有限的规则设置就当做是web安全的唯一标准这显然不太合理，这种情况一定要与测试方沟通解释。

另一方面，对于公司的产品webspeed，也想提点建议，商务项目采用公司的产品为公司节约了不少成本，但是我们产品后续升级维护也必须重视起来，当确认出是webspeed本身问题后，联系vasg相关人员进行协调解决，根本没有非常了解该产品技术人员支持，只是一个刚入职的同事在配合测试。调试了一周时间仍不能解决，最后只能作为一个遗留问题搁置。公司一直在向产品化转变，但是自身的产品维护、升级、管理仍然需要改进。

中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结 已解密登录请求 4.1 已解密登录请求概述

在应用程序测试过程中，检测到将未加密的登录请求发送到服务器。由于登录过程所用的部分输入字段（例如：用户名、密码、电子邮件地址、社会保险号码，等等）是个人敏感信息，建议通过加密连接（如 SSL）将其发送到服务器。任何以明文传给服务器的信息都可能被窃，稍后可用来电子欺骗身份或伪装用户。此外，若干隐私权法规指出，用户凭证之类的敏感信息一律以加密方式传给网站。

4.2 安全风险及原因分析

安全风险中，可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息

原因：诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传 递

4.3 AppScan扫描建议

1.确保所有登录请求都以加密方式发送到服务器。2.请确保敏感信息，例如：密码

-社会保险号码驾照号码

-电子邮件地址邮政编码

一律以加密方式传给服务器。4.4 应用程序解决方案

已解密的登录请求，要求就是数据要加密传输。最简单有效的解决方式采用SSL加密协议传输，但是由于EMA服务管理平台业务的特殊性，采用SSL加密方式对现有的业务影响太大，所以最终没有采用此种方式解决该问题，但个人在进行测试过程中也尝试在tomcat和jboss下SSL方式配置，写下来供参考。

中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

Jboss内核也是tomcat，所以两者配置基本都是一样，都是在生成证书文件后，在service.xml 进行配置：

1.进入到cmd 进入到jdk bin目录下执行keytool-genkey-alias tomcat-keyalg RSA-keystore webspeed.keystore 生成证书 2.在service.xml配置SSL

keystoreFile=”C:tomcat-5.5.26confwebspeed.keystore“ keystorePass=”1111aaaa“/> 这样配置后虽然可以通过https访问，但仍然还可以通过8080使用普通的http访问，所以还必须禁止普通模式登录。所以还得在web.xml添加配置。01 02 03 04 05 06 07 SSL 08 09 *.jsp 10 11 *.action 12 13 14 15 16 17 CONFIDENTIAL 18 19 20 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结 22 23 24 25 26 27 CLIENT-CERT 28 29 Client Cert Users-only Area 30 31 应注意，由于项目的一些组件无法通过https，因此url-pattern字段只对.jsp和.action进行了限制，如果不做特定限制，则系统默认是全部使用https传输。而且上述设置一旦在某个工程中出现，那么当前tomcat将全局采用这一配置。跨站点请求伪造 5.1 跨站点请求伪造概述

“跨站点伪造请求(CSRF)”攻击可让黑客以受害者的名义在易受攻击的站点上运行操作。当易受攻击的站点未适当验证请求来源时，便可能出现这个攻击。这个漏洞的严重性取决于受影响的应用程序的功能，例如，对搜索页面的 CSRF 攻击，严重性低于对转帐页面或概要更新页面的 CSRF 攻击。

这项攻击的执行方式，是强迫受害者的浏览器向易受攻击的站点发出 HTTP 请求。如果用户目前已登录受害者站点，请求会自动使用用户的凭证（如会话 Cookie、用户的 IP 地址，以及其他浏览器认证方法）。攻击者利用这个方法来伪造受害者的身份，再代替他来提交操作。换句话来说，易受攻击的站点未采取适当措施来验证用户实际是否想执行特定操作。强迫受害者发送非预期的请求，方法有许多种：

-通过电子邮件向受害者发送易受攻击应用程序的恶意链接。在公共论坛中，张贴易受攻击站点的链接。中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

-利用站点（或另一个站点）的“跨站点脚本编制”或“链接注入”漏洞，将浏览器自动重定向到易受攻击的站点。

如果攻击者利用易受攻击的站点本身的“链接注入”漏洞，可以增加用户通过站点认证的可能性，进而增加攻击成功的可能性。

例如，攻击者可以利用上述任何选项来诱惑受害者查看含有下列条目的页面：

这会使受害者的浏览器自动请求 URL 及浏览器的当前凭证。如果这个银行业站点易受到 CSRF 攻击，它会根据应用程序逻辑，从受害者的帐户中，将 1000 美元转账到 John 的银行帐户。“跨站点伪造请求”攻击也称为 CSRF（发音为 C-Serf）、XSRF、“跨站点伪造引用”、“单键攻击”以及“会话骑乘”。您可以利用下列方式来验证您的应用程序是否易受到 CSRF 攻击： [1] 检查易受攻击的链接/请求是否未包括攻击者难以猜中的参数 [2] 检查易受攻击的链接/请求是否会执行只应自愿执行的操作

含有用户在不知不觉中提交的请求所能直接访问的敏感操作的应用程序，被视为很容易遭受 CSRF 攻击。CSRF 也可能出现在登录页面和注销页面上。由于攻击者可以伪造来自受害者的连续注销请求，因此 CSRF 可能导致服务拒绝。在登录页面上，CSRF 可以允许攻击者使用包含攻击者用户名和密码的伪造请求来将客户机登录到攻击者的账户中。登录 CSRF 攻击会带有严重的后果，这取决于其他站点行为。例如，如果站点保留了用户操作的历史记录（例如搜索历史记录），那么攻击者将能够在易受攻击的站点上查看受害者之前执行的操作。5.2 安全风险及原因分析

安全风险中，可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 原因：应用程序使用的认证方法不充分

中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

5.3 AppScan扫描建议

如果要避免 CSRF 攻击，每个请求都应该包含唯一标识，它是攻击者所无法猜测的参数。建议的选项之一是添加取自会话 cookie 的会话标识，使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie，若不符合，便废弃请求。攻击者无法猜测这个参数的原因是应用于 cookie 的“同源策略”，因此，攻击者无法伪造一个虚假的请求，让服务器误以为真。攻击者难以猜测且无法访问的任何秘密（也就是无法从其他域访问），都可用来替换会话标识。这可以防止攻击者设计看似有效的请求。

5.4 应用程序解决方案

已解密的登录请求，要求就是数据要加密传输。最简单有效的解决方式采用SSL加密协议传输，但是由于EMA服务管理平台业务的特殊性，采用SSL加密方式对现有的业务影响太大，所以最终没有采用此种方式解决该问题，但个人在进行测试过程中也尝试在tomcat和jboss下SSL方式配置，写下来供参考。6 不充分账户封锁 6.1 不充分账户封锁概述

蛮力攻击是指恶意用户发送大量可能的密码和/或用户名以访问应用程序的尝试。由于该技术包含大量登录尝试，未限制允许的错误登录请求次数的应用程序很容易遭到这类攻击。因此，强烈建议您对帐户限制允许的错误登录尝试次数，超过该次数，便锁定该帐户。样本利用： 下列请求说明密码猜测请求：

http://site/login.asp?username=EXISTING_USERNAME&password=GUESSED_PASSWORD 如果站点在若干次错误尝试之后并不锁定测试的帐户，攻击者最终可能会发现帐户密码，并使用它来假冒帐户的合法用户。6.2 安全风险及原因分析

安全风险高，可能会升级用户特权并通过 Web 应用程序获取管理许可权

原因：Web 应用程序编程或配置不安全

中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

6.3 AppScan扫描建议

请确定允许的登录尝试次数（通常是 3-5 次），确保超出允许的尝试次数之后，便锁定帐户。为了避免真正的用户因帐户被锁定而致电支持人员的麻烦，可以仅临时性暂挂帐户活动，并在特定时间段之后启用帐户。帐户锁定大约 10 分钟，通常便足以阻止蛮力攻击。

6.4 应用程序解决方案

根据扫描建议，web应用程序设定允许登录尝试次数，登录连续失败超过设定次数，就锁定用户，失败次数灵活配置。

在用户登录时进行验证：

if(!encrypter.encrypt(userPassword).equalsIgnoreCase({

} //更新此用户登录失败次数

this.updateLoginFailTimes(userCode);//如果用户连续登录失败次数超过配置值则将其锁定

int loginLockTimes=this.getLoginLockTimes();if(this.getLoginFailTimes(userCode)>=loginLockTimes){ } throw new MySecurityException(”密码不正确!用户:“ + userCode);this.lockUser(userCode);user.getLOGIN_PASSWD()== null ? ”“ : user.getLOGIN_PASSWD()))7 启用不安全HTTP方法 7.1 启用不安全HTTP方法概述

似乎 Web 服务器配置成允许下列其中一个（或多个）HTTP 方法（动词）：

-DELETE COPY PROPFIND LOCK-UNLOCK

这些方法可能表示在服务器上启用了 WebDAV，可能允许未授权的用户对其进行利用。

7.2 安全风险及原因分析

安全风险中，可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件

原因：Web 服务器或应用程序服务器是以不安全的方式配置的

7.3 AppScan扫描建议

如果服务器不需要支持 WebDAV，请务必禁用它，或禁止不必要的 HTTP 方法（动词）。

7.4 应用程序解决方案

修改web工程中web.xml,增加安全配置信息，禁用不必要HTTP方法

HtmlAdaptor test *.jsp *.do GET POST PUT DELETE HEAD OPTIONS TRACE

中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

。JBossAdmin HTTP注释敏感信息 8.1 HTTP注释敏感信息概述

很多 Web 应用程序程序员使用 HTML 注释，以在需要时帮助调试应用程序。尽管添加常规注释有助于调试应用程序，但一些程序员往往会遗留重要数据（例如：与 Web 应用程序相关的文件名、旧的链接或原非供用户浏览的链接、旧的代码片段等）。8.2 安全风险及原因分析

安全风险低，能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置

原因：程序员在 Web 页面上留下调试信息

8.3 AppScan扫描建议

[1] 请勿在 HTML 注释中遗留任何重要信息（如文件名或文件路径）。

[2] 从生产站点注释中除去以前（或未来）站点链接的跟踪信息。

[3] 避免在 HTML 注释中放置敏感信息。

[4] 确保 HTML 注释不包括源代码片段。

[5] 确保程序员没有遗留重要信息。

中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

8.4 应用程序解决方案

虽然这个漏洞为低级别漏洞，但电信方也是要求必须修复，要修改此漏洞需要检查工程中的每一个jsp页面，工作量还是挺大。所以在后续开发过程中注释尽量写英文注释，尽量不要遗留敏感注释信息在jsp代码中，养成良好的编码习惯才是解决问题根本。发现电子邮件地址模式

9.1 发现电子邮件地址模式概述

Spambot 搜寻因特网站点，开始查找电子邮件地址来构建发送自发电子邮件（垃圾邮件）的邮件列表。AppScan 检测到含有一或多个电子邮件地址的响应，可供利用以发送垃圾邮件。而且，找到的电子邮件地址也可能是专用电子邮件地址，对于一般大众应是不可访问的。9.2 安全风险及原因分析

安全风险低，能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置

原因：Web 应用程序编程或配置不安全

9.3 AppScan扫描建议

从 Web 站点中除去任何电子邮件地址，使恶意的用户无从利用。

9.4 应用程序解决方案

根据扫描建议删除注释中出现email地址信息，如果页面中要显示mail地址转为图片形式展示。如：ema服务管理平台首页需要展示客户联系方式，并且联系方式、email等信息，这些信息用户都是可以自行修改的，因为包含了email地址，所以联系方式就转为图片形式：

<%@ page language=”java“ contentType=”text/html;charset=gb2312“%> <%@ include file=”/common/taglib.jsp“ %> <%@ include file=”/common/chart.jsp“ %> <%@ page import=”java.util.List,java.util.*,java.awt.*,java.awt.image.*,com.su 17 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

n.image.codec.jpeg.*,java.util.*“ %> <%@ page import=”com.sitech.ismp.informationService.publish.dao.TB_SYS_SUPPORT_STAFFDao“ %> <%@ include file=”/common/link.jsp“ %> <%@ page import=”com.sitech.ismp.util.context.CommUtil“ %>