【网络安全 | 代码审计】JFinal之DenyAccessJsp绕过
未经许可,不得转载。
文章目录
- 前言
- 代码审计
- 推理绕过
- Tomcat解析JSP
- 总结
- 概念验证
- 阐发
前言
JFinal 是一个基于 Java 的轻量级 MVC 框架,用于快速构建 Web 应用程序。它的设计理念是追求极简、灵活、高效,旨在提高开发效率,减少冗余代码的编写,适合中小型项目以及对性能有较高要求的项目。
在较新的 JFinal 版本中,默认情况下无法直接通过浏览器地址栏输入 .jsp 文件名来访问对应的 JSP 文件。
也就是说,主页面的访问地址可能是 www.example.com/main,而不是 www.example.com/main.jsp。
代码审计
现在让我们看看代码是如何阻止我们直接对.jsp文件访问的。
以5.0.2版本为例,启动JFinal后,系统调用对应的过滤器com.jfinal.core.JFinalFilter,先是使用init()进行初始化: