J2EE WEBWORK FRAMEWORK安全隐患
TEAM : I.S.T.O
AUTHOR : KJ021320
转载需注明作者,未经作者同意,不得用于任何形式的商业活动
WebWork是由OpenSymphony组织开发的,致力于组件化和代码重用的拉出式MVC模式J2EE Web框架。
框架本身就是抽象空实现的!一般很少会给程序带来0day漏洞,但是因为WebWork的设计方式 潜伏着一定的安全隐患.开发者一点要注意
下面我们来分析他的设计,以及流程逻辑…
首先 xwork.xml是它的一个核心配置文件 里面记载着 存储表单数据的javabean,处理业务逻辑的action,流程跳转的到jsp视图处理
OK 以下有一个配置
<action name="HackerTest" class="cn.isto.HackerTest">
阅读全文 »