JSP安全性初探 (7) - 推荐教程

JSP安全性初探<1>(7)

原作者:kuku 添加时间:2007-06-02 原文发表:2007-06-02 人气:10 来源：互联网

本文章共4482字，分8页，当前第7页，快速翻页：

-----------------------------------------------------------------------------------------------------------------------------------------------

本文提示：《JSP安全性初探<1>(7)》是本站编辑们为广大网友精选的实用文章，本文阐述了关于文章的相关理论，相对来说专业性强，但是本文只是针对于某个问题提出的见解与论述，未必能辐射到相关问题的方方面面，所以本文处理问题的方法仅仅为您提供一些参考。更多问题请查阅学习中国网其他栏目哦.

-----------------------------------------------------------------------------------------------------------------------------------------------

　　另一种比较笨的解决方法就是在每个重要目录下添加一个默认起始页面如index.htm等，这样读取目录就会返回给访问者这个文件而不是其它了。建议采用的一种方法。

　　更为重要的是密码的保存问题。在jsp中可以写一个property文件，放置在WINNT系统目录下，然后用Bean来读取数据库信息，这样通过源代码知道了数据库信息存在WINNT中的.property文件里面，但也很难访问它，这样就算源代码被人知道起码数据库是安全的。

　　4．文件不存在引起的绝对路径暴露问题

这个问题相信大家都比较熟悉了，因为微软IIS 中也有比较多的类似问题。如微软IIS5.0中的*.idc暴露绝对路径漏洞。同样的这些问题现在也转到了jsp环境中，这个漏洞暴露了web程序的绝对硬盘地址，和其他漏洞结合就具有比较大的危害了

　　例子：在特定的服务器软件下，访问一个不存在的jsp文件如 http://localhost:8080/fdasfas.jsp，就会返回Java.servlet.ServletEception: Java.io.FileNotFoundEception: c:\web\app\fadssad.jsp (???????????)这样的错误，这样就可以知道网站在c:\web\app目录下，也许一般人不太在意，但是对于一个黑客来说就是很有帮助了。

　　原因：负责jsp 执行的相关Servlet中处理异常的时候没有过滤掉这种情况。

本文章更多内容：<<上一页 - 1 - 2 - 3 - 4 - 5 - 6 - 7 - 8 - 下一页>>

本页地址