java代码审计系统课程-java代码审计入门篇pdf,java代码审计课程-代码审计视频教程-信息安全-CSDN程序员研修院

java代码审计一般是工具+人工的手段进行审计，整个审计主要通过以下三个方面进行审计：

1、常规代码审计

2、框架性审计：各种开发框架，如shiro、struts2，再审计过程住主要关注a、框架版本是否过低b、触发漏洞的方法是否能够控制

3、中间件代码漏洞：常见的有tomcat、weblogic等，特别是中间件的配置信息。

Javaweb项目运行流程

在tomcat下的conf中也有一个web.xml文件。当tomcat部署应用程序时（在激活过程中，或加载应用程序后），它都会读取通用的conf/web.xml，然后再读取web应用程序中的WEB-INF/web.xml。

其实根据他们的位置，我们就可以知道，conf/web.xml文件中的设定会应用于所有的web应用程序，而某些web应用程序的WEB-INF/web.xml中的设定只应用于该应用程序本身。如果没有WEB-INF/web.xml文件，tomcat会输出找不到的消息，但仍然会部署并使用web应用程序，servlet规范的作者想要实现一种能迅速并简易设定新范围的方法，以用作测试，因此，这个web.xml并不是必要的，不过通常最好还是让每一个上线的web应用程序都有一个自己的WEB-INF/web.xml。

tomcat加载顺序：

加载顺序与它们在 web.xml 文件中的先后顺序无关。即不会因为 filter 写在 listener 的前面而会先加载 filter。最终得出的结论是：listener -> filter -> servlet

同时还存在着这样一种配置节：context-param，它用于向 ServletContext 提供键值对，即应用程序上下文信息。我们的 listener, filter 等在初始化时会用到这些上下文中的信息，那么 context-param 配置节是不是应该写在 listener 配置节前呢？实际上 context-param 配置节可写在任意位置，因此真正的加载顺序为：context-param -> listener -> filter -> servlet

对于某类配置节而言，与它们出现的顺序是有关的。以 filter 为例，web.xml 中当然可以定义多个 filter，与 filter 相关的一个配置节是 filter-mapping，这里一定要注意，对于拥有相同 filter-name 的 filter 和 filter-mapping 配置节而言，filter-mapping 必须出现在 filter 之后，否则当解析到 filter-mapping 时，它所对应的 filter-name 还未定义。web 容器启动时初始化每个 filter 时，是按照 filter 配置节出现的顺序来初始化的，当请求资源匹配多个 filter-mapping 时，filter 拦截资源是按照 filter-mapping 配置节出现的顺序来依次调用 doFilter() 方法的。

由此，可以看出，web.xml 的加载顺序是：context-param -> listener -> filter -> servlet ，而同个类型之间的实际程序调用的时候的顺序是根据对应的 mapping 的顺序进行调用的。

<web-app>
<display-name></display-name>定义了WEB应用的名字    <description></description> 声明WEB应用的描述信息    <context-param></context-param> context-param元素声明应用范围内的初始化参数。    <filter></filter> 过滤器元素将一个名字与一个实现javax.servlet.Filter接口的类相关联。
<filter-mapping></filter-mapping> 一旦命名了一个过滤器，就要利用filter-mapping元素把它与一个或多个servlet或JSP页面相关联。 <listener></listener>servlet API的版本2.3增加了对事件监听程序的支持，事件监听程序在建立、修改和删除会话或servlet环境时得到通知.Listener元素指出事件监听程序类。    <servlet></servlet> 在向servlet或JSP页面制定初始化参数或定制URL时，必须首先命名servlet或JSP页面。Servlet元素就是用来完成此项任务的。    <servlet-mapping></servlet-mapping> 服务器一般为servlet提供一个缺省的URL：http://host/webAppPrefix/servlet/ServletName。    但是，常常会更改这个URL，以便servlet可以访问初始化参数或更容易地处理相对URL。在更改缺省URL时，使用servlet-mapping元素。    <session-config></session-config> 如果某个会话在一定时间内未被访问，服务器可以抛弃它以节省内存。    可通过使用HttpSession的setMaxInactiveInterval方法明确设置单个会话对象的超时值，或者可利用session-config元素制定缺省超时值。    <mime-mapping></mime-mapping>如果Web应用具有想到特殊的文件，希望能保证给他们分配特定的MIME类型，则mime-mapping元素提供这种保证。<welcome-file-list></welcome-file-list> 指示服务器在收到引用一个目录名而不是文件名的URL时，使用哪个文件。  <error-page></error-page> 在返回特定HTTP状态代码时，或者特定类型的异常被抛出时，能够制定将要显示的页面。    <taglib></taglib> 对标记库描述符文件（Tag Libraryu Descriptor file）指定别名。此功能使你能够更改TLD文件的位置，而不用编辑使用这些文件的JSP页面。  <resource-env-ref></resource-env-ref>声明与资源相关的一个管理对象。 <resource-ref></resource-ref> 声明一个资源工厂使用的外部资源。<security-constraint></security-constraint> 制定应该保护的URL。它与login-config元素联合使用   <login-config></login-config> 指定服务器应该怎样给试图访问受保护页面的用户授权。它与sercurity-constraint元素联合使用。  <security-role></security-role>给出安全角色的一个列表，这些角色将出现在servlet元素内的security-role-ref元素的role-name子元素中。分别地声明角色可使高级IDE处理安全信息更为容易。  <env-entry></env-entry>声明Web应用的环境项。 <ejb-ref></ejb-ref>声明一个EJB的主目录的引用。 < ejb-local-ref></ ejb-local-ref>声明一个EJB的本地主目录的应用。   </web-app>
```

Java代码审计审技巧及方法相关推荐

1. 学Java有什么技巧和方法推荐？

   学习这件事对谁来说都挺难的,对想学Java的大家来说也是一样的,同学一直都在问有没有什么学习技巧和方法推荐一下,这里小千就把自己的学习Java心得分享给大家,喜欢的话收藏转发一下. 1.了解行业,培养 ...

2. JAVA代码审计之WebGoat靶场SQL注入

   文章目录 前言 WebGoat IDEA部署靶场 No.1 回显注入 No.2 布尔盲注 No.3 Order by 代审技巧 SQL注入挖掘 SQL注入防御 Fortify体验 总结 前言 为了从自 ...

3. 【代码审计-PHP】审计方法、敏感函数、功能点

   前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...

4. 学习java三个技巧要知道!

   java一直是IT行业发展前景非常不错的一门编程语言,学起来是相对有点困难的,尤其是零基础学员,要想学好java技术,一定要知道这三个技巧,来看看下面的详细介绍就知道了. 学习java三个技巧要知道! ...

5. Java性能优化技巧

   Java性能优化技巧 参考了些书籍,网络资源整理出来,适合于大多数Java应用 在JAVA程序中,性能问题的大部分原因并不在于JAVA语言,而是程序本身.养成良好的编码习惯非常重要,能够显著地提升程序 ...

6. 【网络安全】JAVA代码审计—— XXE外部实体注入

   一.WEB安全部分 想要了解XXE,在那之前需要了解XML的相关基础 二.XML基础 2.1 XML语法 所有的XML元素都必须有一个关闭标签 XML标签对大小写敏感 XML必须正确嵌套 XML 文档 ...

7. 学Java需要什么技巧呢？分享这4个

   想学Java的朋友都说,进入IT行业是一件很困难的事情.虽然他们普遍认为这门专业很有发展前景,但是却很高深,因而望而却步,也有些学生学了一段时间,总感觉没有思路,写不出东西,包括很多计算机专业的学生也 ...

8. 面试了 N 个候选人后，我总结出这份 Java 面试准备技巧

   转载自  面试了 N 个候选人后,我总结出这份 Java 面试准备技巧 目录: 框架是重点,但别让人感觉你只会山寨别人的代码 别只看单机版的框架,分布式也需要了解 对于数据库,别只知道增删改查,得了解 ...

9. Java 内存泄露以及避免方法

   转载自  Java 内存泄露以及避免方法 内存泄露:      是指在程序运行过程中会不断的分配内存空间,那些不再使用的内存空间应该即时回收它们,从而保证可以保证系统可以再次使用这些内存.如果存在无用 ...

最新文章

1. 2021年春季学期-信号与系统-第十一次作业参考答案-第三小题
2. 利用对象的等待队列和锁队列管理线程。
3. Linux crontab 命令格式与详细例子
4. Golang 标准库提供的Log(一)
5. Kernel Method的理解
6. 深入::first-letter的研究
7. Android填坑系列：Android JSONObject 中对key-value为null的特殊处理
8. Nuget如何管理本地的包
9. latex max下面标注怎么写
10. No package python27 available
11. 97年世界黑客编程大赛冠军作品（大小仅为16KB），惊艳世界的编程巨作
12. Casbin荣获2021年度“科创中国”开源创新榜优秀开源产品
13. 分享三种计算机专业毕业设计模板附下载地址
14. 极光推送接收不到_极光推送ios接受不到通知
15. HCL配置不同VLAN之间进行通讯实验
16. matlab中format使用方法
17. burp直接抓取windows微信小程序与公众号数据包
18. Android中图片的裁剪与压缩
19. 直接访问mysql的BDB存储引擎
20. 白内障手术后诊断PHP,单眼PHPV+先天性白内障患儿，　3岁11个月手术，术后注意事项...

热门文章

1. Apple的山狮(Mountain Lion)
2. 本地连接受限制或未连接怎么办
3. 单片机萌新的注意事项
4. 错误日志——PreviousPage is null when attempting a cross-page postback using a button and the PostBack
5. 双软认定流程及所需材料有哪些
6. 活猪脑机接口成功！马斯克把人类的超人梦想又往前推进了一步
7. 【触摸屏功能测试】昆仑通态MCGS——测试通过HJ212_TCPIP驱动4G功能发送212报文
8. Ubuntu16.04LTS下安装sougou输入法
9. StopWatch的使用
10. Java如何转换图片的格式？