Java代码审计的一些基础知识你知道吗

JSP生命周期

关键词：Web服务器，JSP容器，JVM（Java虚拟机），servlet

详细过程：

• 客户端向Web服务器发起
• JSP网页请求Web服务器将请求发送给JSP容器（中间件）
• JSP容器中的 JSP引擎 将 HTTP 请求转化为Servlet
• JSP引擎再将Servlet编译为 可执行的class类，并将原始请求交给Servlet引擎
• Web服务器的某组件将会调用servlet引擎，然后载入并执行servlet类。在执行的过程中，servlet产生HTML格式的输出将其内嵌与HTTP 的response上交给Web服务器
• Web服务器以静态的HTML网页的形式将HTTP的response返回给浏览器

War包结构

在web.xml中 会有此项目的框架信息，三方软件信息，比如Spring，Filter过滤器等等

JAVA 内置对象

Java 内置对象不用new，就可以直接获取对象进行使用。比如 out.print()

request，response，pageContext，session，application，out，config，page，exception

pageContex 方便在 JSP 中直接写 Java代码

application 两个页面交互时共享对象

JAVA 中的危险函数

getParameter()		#获取参数
getcookies()		#直接获取会话
getQueryString()	#获取SQL语句
getHeaders()		#获取HTTP请求头
Runtime.exec()		#执行系统命令
logger.info()		#日志输出，可造成信息泄露的风险

危险关键字：password，upload，download

名词概念

servlet：Java Servlet是运行在Web服务器或应用服务器上的程序，Servlet是一种运行在web服务器上的组件，负责连接客户端请求和服务器数据库（或应用层）

Tomcat 是Web应用服务器，是一个Servlet/JSP容器。

• Tomcat作为Servlet容器，负责处理客户端的请求（执行java程序），并把请求交给Servlet，并将Servlet的响应传给客户。
• Tomcat作为JSP容器，…

Servlet 和 JSP的区别

Servlet是在服务器端执行的Java程序，由Servlet容器（其实就是服务器） 负责执行Java程序。而JSP(Java Server Page)则是一个页面， 由JSP容器负责执行。

• Servlet以Java程序为主， 输出HTML代码时需要使用out.println函数，也就是说Java中内嵌HTML； 而JSP则以HTML页面为主，可以直接插入Java代码， 即HTML中内嵌Java
• Jsp 就是在HTML中写Java代码，servlet 就是在java代码中写HTML

Tomcat 是容器，是中间件，是web应用服务器。

Servlet 是组件

JSP 是动态网页技术

WAR包：一个 Java项目都是以War包的形式发布到中间件。能拿到WAR包在反编译就能进行代码审计

总结