Filter是基于函数回调的,而Interceptor则是基于Java反射的。Filter依赖于servlet容器,而Interceptor不依赖于servlet容器。
Filter对几乎所有的请求起作用,mlnterceptor六atiu月小lTlo
Interceptor可以访问Action的上下文,值栈里的对象,而Filter不能。
最重要的要记住他们的执行顺序:先filter后interceptor,
另外在不同框架中有的是自带有的是需要自写,具体可以查看开发资料。
struts2
已知漏洞:找框架自身的版本,利用漏洞库区确定漏洞
未知漏洞:执行流程,过滤器,拦截器,框架特性
验证:采用断点调试,确定.action文件断点后,无法拦截执行请求,说明满足路由规则请求方法后跳出拦截器,绕过实现ongl表达式漏洞.
spring
已知漏洞:找框架自身的漏洞,利用漏洞库区确定漏洞
有spel表达式注入漏洞---黑盒未知漏洞
从自身源码分析到文件语句SQL中有注入漏洞,尝试(未发现过滤器及拦截器)
总结:
1.先确认源码中是否存在框架
2.确定源码中是否存在过滤器
3.过滤器中怎么触发,过滤器规则
框架里:
执行流程,特性(表达式,拦截器或过滤器自带或自写?)