安全学习_开发相关_JavaEE过滤器监听器简单了解

文章目录

    • Web应用运行流程图
  • JavaEE-过滤器-Filter
      • 过滤器概述&作用
      • 过滤器相关安全测试场景
  • JavaEE-监听器-Listener
      • 监听器作用:
      • 监听器相关安全测试场景

过滤器和监听器,主要对安全测试有影响的是过滤器,监听器只是在对代码进行逻辑分析时候有作用。

都会涉及到内存马技术,有助于内存马原理分析,

Web应用运行流程图

请添加图片描述
请添加图片描述

JavaEE-过滤器-Filter

过滤器概述&作用

Filter被称为过滤器,过滤器实际上就是对Web资源进行拦截,做一些处理后再交给下一个过滤器或Servlet处理,通常都是用来拦截request进行处理的,也可以对返回的 response进行拦截处理。开发人员利用filter技术,可以实现对所有Web资源的管理,例如实现权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。

安全相关知识:内存马、权限访问控制

开发相关:提高、优化访问的速度效率

1、创建过滤器

实现Filter接口

2、过滤器内置方法

@WebFilter("/hello")
public class TestServlet implements Filter {// 初始化过滤器@Overridepublic void init(FilterConfig filterConfig) throws ServletException {System.out.println("filter init!");}// 过滤内容@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {System.out.println("------doFilter-------");// 放行filterChain.doFilter(servletRequest,servletResponse);}// 过滤结束/销毁@Overridepublic void destroy() {System.out.println("filter destroy");}
}

3、过滤器触发流程

访问网站路由后-》进入过滤器 -》过滤器进行检测,若无注入等内容,放行,进入servlet

过滤器相关安全测试场景

Payload检测,权限访问控制,红队内存马植入,蓝队清理内存马等l

内存马参考:https://mp.weixin.qq.com/s/hev4G1FivLtqKjt0VhHKmw

JavaEE-监听器-Listener

监听器只做监听,监听事件的发生

和安全测试相关性不高(相对过滤器)

相关:代码分析(代码审计)、内存马

参考:https://blog.csdn.net/qq_52797170/article/details/124023760

监听器作用:

  • 监听ServletContext、HttpSession、ServletRequest等域对象创建和销毁事件

  • 监听域对象的属性发生修改的事件

  • 监听在事件发生前、发生后做一些必要的处理

1、创建监听器

实现HttpSessionListener接口

2、监听器内置方法

public class TestListener implements HttpSessionListener {@Overridepublic void sessionCreated(HttpSessionEvent httpSessionEvent) {System.out.println("监听器监听到Session被创建");}@Overridepublic void sessionDestroyed(HttpSessionEvent httpSessionEvent) {System.out.println("监听器监听到Session被销毁");}
}

3、监听器触发流程

监听器不需要指定路由,当Session被创建,监听器即会监听到,触发sessionCreated方法,Session销毁触发sessionDestroyed方法。

也可监听ServletContext、HttpSession、ServletRequest等域对象创建和销毁事件

监听器相关安全测试场景

代码审计中分析执行逻辑触发操作,**红队内存马植入,蓝队清理内存马(应急)**等

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/85823.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

民安智库(第三方社会评估调研公司)社区健康服务中心满意度提升方案

提升社区健康服务中心的满意度需要综合考虑医疗服务、员工表现、便利性和健康教育等多个方面。以下是一些提升社区健康服务中心满意度的方案和建议: 1. 提高医疗服务质量: 培训医疗专业人员,确保他们具备最新的医疗知识和技能。确保及时提供…

2020-2023中国高等级自动驾驶产业发展趋势研究-中国高等级自动驾驶发展近况

1.2 中国高等级自动驾驶发展近况 通过对中国高等级自动驾驶行业的观察和分析,亿欧汽车认为,除技术解决方案提供商外,如今的车企、政府、资本同样在产业链中扮演重要角色。此外,车路协同技术的发展也为高等级自动驾驶的发展提供了更…

Web自动化框架中验证码识别处理全攻略,让测试更得心应手!

前言: 随着Web应用程序的不断发展,自动化测试已成为项目开发中必不可少的一环。然而,验证码的出现却经常会使自动化测试变得更具挑战性。为了解决这个问题,我们需要一种方法来自动识别和处理验证码,从而提高自动化测试…

位图的实现与应用

目录 位图 实现思路 模拟实现 类模板 构造函数 set reset test twobitset 实现 成员变量 set is_once 布隆过滤器 成员变量与模板 set test 删除 位图 位图是哈希的另一种表现,与我们常用的 set map 的思想还是基本一样的,下面我们看一…

leetcode面试题0808有重复字符串的排列组合

描述 输入一个长度为 n 字符串&#xff0c;打印出该字符串中字符的所有排列&#xff0c;你可以以任意顺序返回这个字符串数组。 例如输入字符串ABC,则输出由字符A,B,C所能排列出来的所有字符串ABC,ACB,BAC,BCA,CBA和CAB。 数据范围&#xff1a;n<10 要求&#xff1a;空间复…

引领初创企业的数字化转型:选择适合的低代码平台

初创企业在初期各项架构都还不完善&#xff0c;对于应用程序的需求多样&#xff0c;但是又要考量成本。所以&#xff0c;低代码平台就是在综合考量成本和需求的情况下的一个突出的选择。下面我们就六个方面为您介绍&#xff1a;初创企业选择的Zoho Creator低代码平台。 1、功能…

机器学习笔记 - k-NN算法的数学表达

一、概述 所有的机器学习算法都是有假设前提的。k-NN算法的假设前提是相似的输入有相似的输出。其分类规则是对于测试输入x,在其k个最相似的训练输入中分配最常见的标签。 k-NN 的正式定义: 对于一个待测试数据。 将的个最近邻的集合表示为 。的正式定义为 ,并且。(意思就是…

mmdetection v3避坑

命令&#xff1a; python tools/test.py projects/DiffusionDet/configs/diffusiondet_r50_fpn_500-proposals_1-step_crop-ms-480-800-450k_coco.py /data/zhangrui/mmdetection-master/checkpoints/diffusiondet_r50_fpn_500-proposals_1-step_crop-ms-480-800-450k_coco_202…

云计算的发展趋势和挑战

本文将探讨云计算的发展趋势和挑战&#xff0c;旨在帮助读者了解云计算的最新动态和未来发展方向。 随着信息技术的发展&#xff0c;云计算作为一种新兴的计算模式&#xff0c;已经得到了广泛的应用和认可。它通过将计算资源、存储资源和应用程序等服务通过互联网提供给用户&a…

华为OD机试真题- 阿里巴巴找黄金宝箱(IV)-2023年OD统一考试(B卷)

题目描述: 一贫如洗的樵夫阿里巴巴在去砍柴的路上,无意中发现了强盗集团的藏宝地,藏宝地有编号从0~N的箱子,每个箱子上面贴有一个数字,箱子排列成一个环,编号最大的箱子的下一个是编号为0的箱子。 请输出每个箱子贴的数字之后的第一个比它大的数,如果不存在则输出-1。 …

Linux第一次作业

一&#xff0c;作业问题&#xff1a; 二&#xff0c;问题解答&#xff1a; 1. 2.文件管理命令练习 3.vi/vim练习 3.1 3.2 3.3 3.4

产品文档-BRD、MRD和PRD

1、BRD&#xff08;Business Requirement Document&#xff09;&#xff0c;商业需求文档&#xff0c;是一份产品商业论证报告&#xff0c;基于商业目标或价值所描述的产品需求内容文档&#xff0c;是领导层进行产品研发立项决策评估的重要依据&#xff0c;是产品生命周期中最早…

消除达人游戏小程序开发流程:专业性与创新的结合

在移动互联网时代&#xff0c;达人游戏小程序逐渐成为了用户追逐娱乐的一种方式。为了满足用户对于达人游戏的需求&#xff0c;开发一款专业且具有创新性的达人游戏小程序显得尤为重要。本文将从需求分析、技术选型、系统设计和用户体验等多个方面&#xff0c;深入探讨达人游戏…

题目 1062: 二级C语言-公约公倍

输入两个正整数m和n&#xff0c;求其最大公约数和最小公倍数。样例输入 2 3样例输出 1 6 这题一知半解的&#xff0c; 最小公倍数两数の积/最大公约数&#xff1b; 最大公约数通过迭代法求得(见其下)&#xff0c; 作为a,b两数有一个属为有一个为0为无效数据时 《-----a%b等…

2023.9.23-最强实战:Typora+mkdocs构建自己的知识库博客

最强实战&#xff1a;Typoramkdocs构建自己的知识库&博客-2023.9.23 winodws-ecs-rsync-mkdocs-typora-百度网盘同步空间数据维护方案 目录 实验环境 win10 typora v1.7.4 mkdocs, version 1.5.2 vscode v1.82.2 阿里云轻量服务器实验软件 链接&#xff1a;https://pan.…

sh文件介绍及linux下执行

Shell脚本是一种用于自动化任务和系统管理的脚本语言。它允许用户通过命令行界面执行一系列命令&#xff0c;从而简化了重复性任务的处理过程。 以下是关于Shell脚本的一些基本概念&#xff1a; 1. Shell脚本通常以“.sh”扩展名保存&#xff0c;例如“script.sh”。 2. Shell…

算法 旋转数组最小数字-(二分查找+反向双指针)

牛客网: BM21 题目: 非降数组旋转后的最小值 思路: 数组形状呈现从小到大&#xff0c;再从小到大&#xff0c;左半段的值均大于右半段的值&#xff0c;需找到中间的最小值。初始化双指针left 0, right n-1, mid left (right-left)/2, 如果nums[mid] < nums[right],说明…

单片机论文参考:3、基于单片机的电子万年历设计

摘要 随着社会、科技的发展&#xff0c;人类得知时间&#xff0c;从观太阳、摆钟到现在电子钟&#xff0c;不断研究、创新。为了在观测时间&#xff0c;能够了解与人类密切相关的信息&#xff0c;比如星期、日期等&#xff0c;电子时钟诞生了&#xff0c;它集时间、日期、星期等…

005:vue2使用vue-type-writer实现打字机效果

Vue Type Writer是一个Vue.js 2打字机效果组件&#xff0c;支持像打字机一样模仿键入文本。 文章目录 1. 效果2. 安装使用 1. 效果 2. 安装使用 npm 安装 npm install vue-type-writer --save完整代码 <template><div class"app-container home"><…