如何在 Struts 1.2 中验证对 JSP 页面的请求/响应?
简短的场景:动作类的响应在传递到 jsp 的过程中被捕获并被调整。如何验证该响应是否已被触及?(这都是 VAPT 的一部分,如果听起来不合逻辑,请见谅)
问问题
293 次
1 回答
0
来自动作类的响应在到达 jsp 的过程中被捕获并被调整
您是说 Java 和 JSP 没有运行同一个容器,甚至不是同一个 JVM,因此它们正在通过网络进行传输,而您担心那里的拦截?
还是您的意思是您的服务器堆栈中的某种过滤器类正在故意改变响应,并且您想验证您自己的转换?
或者你的意思是你关心服务器和客户端之间的拦截,你所说的这个词JSP实际上是HTML发送到客户端(浏览器)的渲染?
一般来说,你检测篡改的方式是使用散列——这就是为什么当你下载一个开源项目时,你经常会在它旁边看到一个散列下载。在普通浏览器上下文中,我不知道有任何现成的解决方案。也许在单独的选项卡/框架中有一些 javascript,它检查在单独的请求中传递的哈希?
但最终,如果您担心中间人攻击,请在https. 甚至可能使用相互证书(服务器向浏览器发送证书,浏览器向服务器发送证书,作为相互身份验证。)
于 2012-10-31T14:17:02.353 回答