Java代碼審計(jì)的一些基礎(chǔ)知識(shí)你知道嗎

更新時(shí)間：2021年09月02日 11:18:23 作者：Buffedon

這篇文章主要介紹了基于Java的代碼審計(jì)功能的基礎(chǔ)知識(shí)，小編覺(jué)得挺不錯(cuò)的，現(xiàn)在分享給大家，也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧

JSP生命周期

關(guān)鍵詞：Web服務(wù)器，JSP容器，JVM（Java虛擬機(jī)），servlet

詳細(xì)過(guò)程：

客戶(hù)端向Web服務(wù)器發(fā)起
JSP網(wǎng)頁(yè)請(qǐng)求Web服務(wù)器將請(qǐng)求發(fā)送給JSP容器（中間件）
JSP容器中的 JSP引擎將 HTTP 請(qǐng)求轉(zhuǎn)化為Servlet
JSP引擎再將Servlet編譯為可執(zhí)行的class類(lèi)，并將原始請(qǐng)求交給Servlet引擎
Web服務(wù)器的某組件將會(huì)調(diào)用servlet引擎，然后載入并執(zhí)行servlet類(lèi)。在執(zhí)行的過(guò)程中，servlet產(chǎn)生HTML格式的輸出將其內(nèi)嵌與HTTP 的response上交給Web服務(wù)器
Web服務(wù)器以靜態(tài)的HTML網(wǎng)頁(yè)的形式將HTTP的response返回給瀏覽器

在這里插入圖片描述

War包結(jié)構(gòu)

在web.xml中會(huì)有此項(xiàng)目的框架信息，三方軟件信息，比如Spring，F(xiàn)ilter過(guò)濾器等等

在這里插入圖片描述

JAVA 內(nèi)置對(duì)象

Java 內(nèi)置對(duì)象不用new，就可以直接獲取對(duì)象進(jìn)行使用。比如 out.print()

request，response，pageContext，session，application，out，config，page，exception

pageContex 方便在 JSP 中直接寫(xiě) Java代碼

application 兩個(gè)頁(yè)面交互時(shí)共享對(duì)象

JAVA 中的危險(xiǎn)函數(shù)

getParameter()		#獲取參數(shù)
getcookies()		#直接獲取會(huì)話
getQueryString()	#獲取SQL語(yǔ)句
getHeaders()		#獲取HTTP請(qǐng)求頭
Runtime.exec()		#執(zhí)行系統(tǒng)命令
logger.info()		#日志輸出，可造成信息泄露的風(fēng)險(xiǎn)

危險(xiǎn)關(guān)鍵字：password，upload，download

名詞概念

servlet：Java Servlet是運(yùn)行在Web服務(wù)器或應(yīng)用服務(wù)器上的程序，Servlet是一種運(yùn)行在web服務(wù)器上的組件，負(fù)責(zé)連接客戶(hù)端請(qǐng)求和服務(wù)器數(shù)據(jù)庫(kù)（或應(yīng)用層）

Tomcat 是Web應(yīng)用服務(wù)器，是一個(gè)Servlet/JSP容器。

Tomcat作為Servlet容器，負(fù)責(zé)處理客戶(hù)端的請(qǐng)求（執(zhí)行java程序），并把請(qǐng)求交給Servlet，并將Servlet的響應(yīng)傳給客戶(hù)。
Tomcat作為JSP容器，…

Servlet 和 JSP的區(qū)別

Servlet是在服務(wù)器端執(zhí)行的Java程序，由Servlet容器（其實(shí)就是服務(wù)器）負(fù)責(zé)執(zhí)行Java程序。而JSP(Java Server Page)則是一個(gè)頁(yè)面，由JSP容器負(fù)責(zé)執(zhí)行。

Servlet以Java程序?yàn)橹鳎?輸出HTML代碼時(shí)需要使用out.println函數(shù)，也就是說(shuō)Java中內(nèi)嵌HTML；而JSP則以HTML頁(yè)面為主，可以直接插入Java代碼，即HTML中內(nèi)嵌Java
Jsp 就是在HTML中寫(xiě)Java代碼，servlet 就是在java代碼中寫(xiě)HTML