jsp的文件包含分静态包含的动态包含两种:
静态包含:
动态包含:
两者的区别我就不赘述了。
就目前了解静态包含是不存在问题的,因为file的参数不能动态赋值
而动态包含是存在问题的
我们常说的php文件包含有本地文件包含和远程文件包含两种
所以我分析java文件包含的时候也是分这两种情况
1.本地文件包含:
目前我对java的本地文件包含的理解为:造成的危害就只有文件读取,一般情况下是不能造成命令执行或代码执行的。php之所以能执行命令是因为包含txt文件,只要txt种的内容符合php程序的格式就能当成php来解析,也就是说攻击者可能上传一个一句话木马后缀是txt,上传后利用文件包含漏洞包含他就可以了。java则没有次特征。所以个人认为java的本地文件包含漏洞很难造成代码执行的漏洞的(当然,要是直接包含一个一句话木马的jsp文件还是可以执行命令的,问题要是有这样一个木马jsp文件,你又知道路径,为什么不知道访问呢?),有种特殊情况就是,通过某种手段在服务器上生成了一句话木马文件但是在特点文件夹下,访问权限不够时可以利用此文件包含漏洞包含她。
html>
测试页面静态包含
top.jsp文件
动态包含
" />--%>
--%>
最后
以上就是长情御姐最近收集整理的关于java 文件包含_jsp的文件包含漏洞的全部内容,更多相关java内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复