如何在Struts 1.2中验证对JSP页面的请求/响应?
短场景:来自动作类的响应在前往jsp的路上被捕获并被调整。如何验证是否触及了该响应? (这是VAPT的全部内容,请原谅我,如果听起来不合逻辑的话)
答案 0 :(得分:0)
动作类的响应在前往jsp的路上被捕获并被调整
你是说Java和JSP没有运行相同的容器,甚至不是同一个JVM,因此它们正在通过网络,你担心那里的拦截?
或者你的意思是服务器堆栈中的某种过滤器类是故意改变响应,并且你想验证自己的转换吗?
或者你的意思是你担心服务器和客户端之间的拦截,你所说的JSP这个词实际上是发送给客户端(浏览器)的呈现HTML吗? / p>
通常,检测篡改的方式是使用散列 - 这就是为什么当您下载开源项目时,您会经常看到旁边的哈希下载。在普通的浏览器环境中,我不知道任何现成的解决方案。也许在一个单独的选项卡/框架中有一些javascript,它检查在单独的请求中传递的哈希值?
但最终,如果您担心中间人攻击,请通过https提出请求。甚至可以使用相互证书(服务器向浏览器发送证书,浏览器将证书发送到服务器,作为相互身份验证。)