一.代码审计
基础知识
idea
①idea基础使用
idea常用快捷键
双击Shift 查找任何内容,可搜索类、资源、配置项、方法等,还能搜索路径-->点击到一个内容进行点击就好了
②利用idea搭建环境进行审计
src文件-->后端源码逻辑处理文件
webRoot文件-->jsp页面与一些静态文件
③基础配置文件
#常见的三个配置文件
/WEB-INF/web.xml : #Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。-->三部分①servlet配置+组件配置+spring配置-->对于需要配置的组件类文件如xss类的过滤调用类时直接在这里面使用就好了
/WEB-INF/classes/ : #包含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中。
/WEB-INF/lib/ : #存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件。
#②数据库密码的配置文件
1.1 在jar文件中
1.2 在proxool-conf.xml文件中
#③常见的接口do类文件定义思路
1.1 直接写在一个文件中去即直接转jsp为do或者其他文件名字
1.2 分别写开文件的思路
如下用forward进行配置文件
其他文件
keyword.properties文件//-->进行过滤的含义
<session-config> session//多久过期的配置文件
//标签库配置
<taglib>
<taglib-uri></taglib-uri>
<taglib-location></taglib-location>
</taglib>
四个部分-->
//1.配置文件 /WEB-INF/**/applicationContext-*.xml
//2.监听sprinfg插件
//3.监听session<listener-class>
//4.配置部分/WEB-INF/**/struts-config-*.xml
②配置文件中的内容类含义
如
<servlet-name> //注册的sevrlet的名字
<servlet-class>//要注册的servlet 的类地址, 要带包路径
<servlet-mapping> //配置我们注册的组件的访问路径
<url-pattern>//配置这个组件的访问路径
<init-param>//即初始化参数的作用-->可以理解为局部变量的初始化含义
<context-param> //上下文参数-->可以理解为全局变量的初始化含义
//代码如下
<servlet-mapping>
<servlet-name>LoginServlet</servlet-name> 与上面的 <servlet-name> 要一致
<url-pattern>/servlet/LoginServlet</url-pattern>
</servlet-mapping>
