JSP安全性初探 (6) - 推荐教程

JSP安全性初探<1>(6)

原作者:kuku 添加时间:2007-06-02 原文发表:2007-06-02 人气:10 来源：互联网

本文章共4482字，分8页，当前第6页，快速翻页：

-----------------------------------------------------------------------------------------------------------------------------------------------

本文提示：《JSP安全性初探<1>(6)》是本站编辑们为广大网友精选的实用文章，本文阐述了关于文章的相关理论，相对来说专业性强，但是本文只是针对于某个问题提出的见解与论述，未必能辐射到相关问题的方方面面，所以本文处理问题的方法仅仅为您提供一些参考。更多问题请查阅学习中国网其他栏目哦.

-----------------------------------------------------------------------------------------------------------------------------------------------

http://site.running.websphere/login.jsp，只要修改一下http://site.running.websphere/WEB-INF/所有这个目录下以及这个目录下的子目录中的class文件可以看个一干二净的，还可以下载到本机上。

　　也许有人会说class是经过编译的，就算被人下载也没有什么关系，但是现在class 反编译为Java代码的软件也很多，有人曾经采用JAD软件对下载的class文件反编译了一下，居然和原始的Java文件几乎一模一样，变量名都没有变，更惊奇的是还可以重新编译为class文件正常使用。

　　安全问题更大的就是，网页制作者开始把数据库的用户名密码都写在了Java代码中，现在一反编译谁都能看到数据库的重要信息。通过数据库的远程连接功能，可以轻松的进入到你的数据库中，所有信息全部在他手中。附带说一句，如果用户能获得SQL Server的用户名口令，进入数据库中可以执行任意的dos命令如查看c:\文件、建立和删除目录等，那样整个Windows系统都不安全了。

　　解决方法：IIS以前一个有效地解决asp漏洞的方法，就是将asp程序单独放置一个目录，目录设置上用户权限只能执行不能读取。在jsp环境下同样可以通过设置服务器的环境来解决这个问题，简单的说，就是将一些比较重要的目录如WEB-INF、classes等设置上访问的权限，不允许读而取只允许执行。以apache 下解决为例，可以在httpd.conf文件中添加一目录WEB-INF并设置Deny from all等属性。

本文章更多内容：<<上一页 - 1 - 2 - 3 - 4 - 5 - 6 - 7 - 8 - 下一页>>

本页地址