Анализ JSP на уязвимости
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Анализ JSP на уязвимости - 2009-03-21 16:48:18.096666
|
|
|
Marat_Galiev
Сообщений: 2
Оценки: 0
Присоединился: 2009-03-21 16:46:43.760000
|
Всем привет!
Пишется сканер для уязвимости веб приложений на jsp.
Каким путём можно пойти в этом случае?
К примеру, понятно что могут быть скриптлеты в странице,хотя это и дурной тон, да, а вот если бины, как это отслеживать?
И вообще как правильно анализировать jsp на уязвимости?Есть варианты?
К примеру на XSS и SQL injection.
Может ссылки подкините, я перерыл кучу инфы, в инете ничего не нашёл кроме пары статей.Но примеров кода и КАК нужно реализовать и отследить уязвимости с точки зрения кода - ничего нет.
Буду рад любой помощи.Спасибо!
|
|
|
|
|
RE: Анализ JSP на уязвимости - 2009-03-22 02:01:24.223333
|
|
|
kreol
Сообщений: 823
Оценки: 0
Присоединился: 2007-03-08 03:13:06.876666
|
Ну, блин, и вопросики. JSP - это вообще технология, включающая десятки, если не сотни, библиотек тегов, не считая пользовательских. И каждый из них в общем случае может делать что угодно, причём как на стороне клиента, так и на стороне сервера. SQL? Ну проверяй синтаксис тегов из jstl с префиксом sql. XSS? Никогда не имел с ним дело, но, как я понимаю, это вообще Джаваскрипт, JSP как бы и не причём. Тут не об анализе JSP говорит надо, а о безопасности всей клиент-серверной архитектуры - с неё то и надо начинать. Плюс ещё можно проанализировать процесс преобразования JSP в Java-код, хотя не думаю, что авторы серверов наплевательски отнеслись к проблеме безопасности.
|
|
|
|
|
|
