<%out.print(hello);%>

通过IE的正常请求地址为：http://localhost:8080/examples/jsp/hello.jsp，显示结果为：hello。然后开始具体的攻击测试。测试时，发出的请求地址为：http://localhost:8080/examples/jsp/////////hello.jsp ，浏览器上显示编译错误，错误的原因是500 java.lang.NullPointerException。这个应该是比较常见的错误了。现在，恢复正常的请求http://localhost:8080/examples/jsp/hello.jsp，问题就出现了，即出错，而且所报的错误和刚才造成它错误的请求是一样的：“500 java.lang.NullPointerException”。难道是缓存在浏览器里了吗？换台机器访问http://192.168.10.188/examples/jsp/hello.jsp。问题依然如故，哎！可怜的Hello.jsp呀!

　　虽然这个问题有些弱智，不过，他的目的也达到了，即找出“.jsp”流程中存在的一些问题。所以，JSP程序同ASP一样，还是存在着很多安全上的问题的。因此，对于一心研究论坛或者其他安全信息的朋友来说，要想发现JSP的BUG，了解一些JSP的工作原理是十分重要的。

　　需要指出的是，虽然是一门网络编程语言，JSP和PHP、ASP的工作机制还存在很大的区别，首次调用JSP文件时，JSP页面在执行时是编译式，而不是解释式的。首次调用JSP文件其实是执行一个编译为Servlet的过程。当浏览器向服务器请求这一个JSP文件的时候，服务器将检查自上次编译后JSP文件是否有改变，如果没有改变，就直接执行Servlet，而不用再重新编译，这样，工作效率得到了明显提高。这也是目前JSP论坛开始逐渐风靡的一个重要原因。

　　小提示：Servlet是用Java编写的Server端程序，它与协议和平台无关；Servlet运行于Java－enabled WEB Server中；Java Servlet可以动态地扩展Server的能力，并采用请求－响应模式提供WEB服务；最早支持Servlet技术的是JavaSoft的Java WEB Server；Servlet的主要功能在于交互式地浏览和修改数据，生成动态WEB内容。

　　说到这里，我们自然就会关心一些JSP的安全问题。一般来说，常见的JSP安全问题有源代码暴露（包括程序源代码以明文的方式返回给访问者，如添加特殊后缀引起jsp源代码暴露；插入特殊字符串引起Jsp源代码暴露；路径权限引起的文件Jsp源代码暴露；文件不存在引起的绝对路径暴露问题等）、远程程序执行类、数据库如SQL Server、Oracle 、DB2等的漏洞，操作系统漏洞等。不过，为了突出Jsp的安全问题，本文将结合目前的一些比较流行的Jsp论坛分类阐述和提出解决的建议。为了讲解方便，本文还采用一些公开了原代码的论坛实例代码，至于安装软件版本、操作系统等，可以查看安装提示。

　　论坛用户管理缺陷

　　为了加强实战效果，我们可以到http://down.chinaz.com/S/5819.asp这个地址下载一个典型的论坛代码，根据提示，数据源名称为yyForum，用户名为xyworker，密码：999。到baidu、Google等网站搜索一下，我们可以看到，安装这个代码的论坛不少。仔细分析后，可以发现，用户管理的页面是user_manager.jsp文件。首先，我们看看这个系统是如何加强它的代码安全性的。其中，在代码的开始部分有一个if限制条件，代码的第三行到第十行具体如下：

<%
if ((session.getValue(UserName)==null)||(session.getValue(UserClass)==null)||(!session.getValue(UserClass).equals(系统管理员)))

%>

　　其中，Session.getValue表示检索出Session的值；sendRedirect()执行后，地址栏链接会改变，相当于客户端又重新发了一个get请求，要服务器传输另一个文件过来。

　　下面，我们再来看看修改用户信息的文件modifyuser_manager.jsp。典型代码如下：

<%@page contentType=text/html; charset=gb2312 language=java import=java.sql.*,java.util.*  %>
<jsp:useBean id=yy scope=page class=yy.jdbc/>
<%!String User_Name,User_Password,sql, User_Sign;%>
<%
User_Name=request.getParameter(name);

//out.println(User_Name);
User_Password=request.getParameter(password);
User_Password=yy.ex_chinese(User_Password);
……
User_Sign=request.getParameter(sign);
User_Sign=yy.ex_chinese(User_Sign);

Connection con=yy.getConn();
Statement  stmt=con.createStatement(ResultSet.TYPE_SCROLL_INSENSITIVE,ResultSet.CONCUR_READ_ONLY);
sql=update 用户表 set 用户密码='+User_Password+',用户性别='+User_Sex+',用户邮箱='+User_Email+',居住地址='+User_Address+',手机号码='+User_Mobile+',Oicq='+User_Oicq+',出生日期='+User_Birthay+',用户等级='+User_Class+',签名='+User_Sign+' where 用户名='+User_Name+';
//out.println(sql);
stmt.executeUpdate(sql);
out.println(<font size=2 color=blue>正在处理你的用户信息，请稍后...</font><meta http-equiv='refresh' content='2;url=user_manager.jsp'>);
%>
<jsp:include page=inc/online.jsp flush=true/>

　　看看这个文件，我们就好像看到了一个简单的教学文件。现在，假设管理员提交如下地址，即http://www.51dz.net/bbs/modifyuser_manager.jsp?modifyid=51，需要查看、修改ID为51的用户的资料（管理员默认的用户ID为51）。问题就出来了。同样的，我们可以通过搜索引擎得到如下地址