SEOSERVISE - Защита информации.

 
   
 

Главная


 


Обработчики и загрузчики приложений Прежде всего консультант по вопросам безопасности желает выяснить, что про­ изойдет, если вызвать сервлет FileServlet и запросить страницу JSP или для получе­ ния простого HTML -файла обратиться к сернлету JSPServlet ? Этот вопрос отражает идею подмены обработчика ( handler forcing ). Для понимания механизма подмены обработчиков нужно знать, как сервлеты реги­стрируются и запускаются. Ответ можно найти в конфигурационном файле. Ниже при­ ведена строка файла weblogic . properties , в которой регистрируется сервлет SnoopServlet . ---------- veblogic . properties --------------------- veblogic . httpd . register . snoop - exanple ». servlets . SnoopServlet Необходимо обратить внимание на два аспекта. В правой части приведенной ди­ рективы задается имя ссрвлста SnoopServlet , который расположен в каталоге / examples / servlets /. В левой части директивы указан псевдоним или короткое имя сервлета, используемое при его вызове. Другими словами, все, что указано после строки weblogic . httpd . register , отображается на конкретный сервлет, указанный в правой части. В рассматриваемом случае сервлету соответствует имя snoop . В следую­ щем URL показано, как можно запустить сервлет SnoopServlet : http :// wwv . aceetradiflg . com / snoop На рис. 12.3 представлено содержимое окна броузера после запуска сервлета. Вызов сервлета FileServlet Однако при дальнейшем просмотре файла veblogic . properties можно обнаружить более интересную информацию. Сервлеты сервера приложений уровня ядра регистри­ руются точно так же, как и пользовательские сервлеты! В следующем фрагменте фай­ ла weblogic . properties показана строка регистрации сервлета FileServlet : weblogic . properties регистрация файлового сервлета Сервлет FileServlet ищет в каталоге docueentRoot необходимый файл, а затем обрабатьшает его. Если запрашиваемьм файл является каталогом, сервлет FileServlet добавит к пути файл deiaultFUenaee и обработает его weblogic . httpd . register . f ile « weblogic . servlet . FileServlet В левой части последней строки указан псевдоним сервлета FileServlet ( file ), ко­ торый в строке URL можно использовать для его запуска. Можно сформулировать следующий вопрос: "Что произойдет, если в окне броузера ввести URL http :// www . acmeonline . com / file ?" Сервлет FileServlet предназначен для обработки клиентских за­ просов на получение простых текстовых файлов. Однако, что произойдет, если попы­ таться использовать этот сервлет для получения файлов JSP ? Скоро все станет ясно. При вводе URL -адреса http :// ww . acmetradeoniine . com / feedback / feedback . jsp в окне броузера появится информация, показанная на рис. 12.4. При обращении к странице Peedback . jsp на экране появится небольшая форма, предназначенная для отправки клиентских сообщений в компанию Acme Online Trading . Вспомним, что по умолчанию файлы JSP обслуживаются ссралстом JSPServlet . Теперь с помощью следующего адреса URL для обработки файла feedback . jsp можно попробовать воспользоваться сервлетом FileServlet : http ://« w . acmetradeonUne . coiii / f ile / feedback / feedback . jip Результат применения обработчика с псевдонимом file к файлу JSP показан на рис. 12.5.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |