代码审计 | 必须要知道的注入型漏洞风险参数来源

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

2024-05-30 08:39:07

本文由创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

代码审计，是检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范等，对程序源代码逐条进行检查和分析。

本篇文章为总结人工代码审计过程中，注入型漏洞需要关注的风险参数来源的关键字和关注点。

关注一：request域

注解	@RequestBody	/
	@ResponseBody	/
	@RequestParam	/
	@PathVariable	/
	@PathParam	/
	@QueryParam	/
request域	request.getParameter()	/
	Request.getQueryString()	http://localhost/test.do?a=b&c=d&e=f得到的是 a=b&c=d&e=f
	request.getRequestURI()	返回除去host（域名或者ip）部分的路径
	request.getRequestURL()	返回全路径
	request.getContextPath()	返回工程名部分，如果工程映射为/，此处返回则为空
	request.getServletPath()	返回除去host和工程名部分的路径
	request.getScheme();	返回的协议名称,默认是http
	request.getServerName()	返回的是你浏览器中显示的主机名，你自己试一下就知道了
	request.getContextPath()	得到项目的名字，如果项目为根目录，则得到一个""
	request.getServerPort()	获取服务器端口号
	request.getPathInfo();	http://localhost:8080/dwr/servlet/test/joejoe1991/a.html 返回：/joejoe1991/a.html
	request.getInputStream()	使用request.getInputStream() 获取POST数据 https://cloud.tencent.com/developer/article/1453819
获取页面 URL 地址：window.location对象所包含的属性	hash	从井号 (#) 开始的 URL（锚）
	host	主机名和当前 URL 的端口号
	hostname	当前 URL 的主机名
	href	完整的 URL
	pathname	当前 URL 的路径部分
	port	当前 URL 的端口号
	protocol	当前 URL 的协议
	search

# 网络安全 # web安全 # 代码审计 # 静态代码检测

已在FreeBuf发表 0 篇文章

本文为独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多