Servlets 基于Java的web应用程序(servlet/Java)中是否可能存在远程文件执行攻击?
除非有编程错误,比如执行用户提供的命令,或者有服务(servlet或struts操作或任何东西)检索用户作为输入传递的文件,否则有没有办法在Java web服务器上执行文件?不,没有。如果有代码来执行外部程序,那么它可能会像在任何其他服务上一样被利用;但是如果没有这样的代码,也没有像Java代码那样编译和执行用户数据的疯狂的东西,那么就不可能有任何方法来进行这样的利用。如果完全排除编程错误;不。但是你必须意识到,框架本身存在编程错误,即使它们可能比你的平均系统更健壮 我不知道任何导致纯Java servlet中代码执行的漏洞 至于JavaWeb框架,有很多例子。例如,您可以在这里查看Meder Kydyraliev的幻灯片,其中有几张是他发现的:Servlets 基于Java的web应用程序(servlet/Java)中是否可能存在远程文件执行攻击?,servlets,security,Servlets,Security,除非有编程错误,比如执行用户提供的命令,或者有服务(servlet或struts操作或任何东西)检索用户作为输入传递的文件,否则有没有办法在Java web服务器上执行文件?不,没有。如果有代码来执行外部程序,那么它可能会像在任何其他服务上一样被利用;但是如果没有这样的代码,也没有像Java代码那样编译和执行用户数据的疯狂的东西,那么就不可能有任何方法来进行这样的利用。如果完全排除编程错误;不。但是你必须意识到,框架本身存在编程错误,即使它们可能比你的平均系统更健壮 我不知道任何导致纯Java
你没有给出太多的背景,所以很难给出一个好的答案。这一切归结为您需要应用程序的安全程度。也许您可以尝试更好地描述您的场景和关注点?除非你只是想用一个普通的问题来挑起对话,否则你就不能指望得到一个有意义的答案。换言之;当然,您不应该能够在Java web服务器上执行远程代码,而Java web服务器并不是为此而设计的,而且,没有任何东西是真正安全的,可以用时间和资源抵御攻击者。