深入解析中间件:简化和增强您的应用程序开发

原创 已于 2023-09-28 15:19:08 修改 · 414 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#中间件 #网络安全
于 2023-08-10 14:02:55 首次发布
本文详细解释了中间件在现代应用程序开发中的重要性,包括其概念、处理请求响应的逻辑,以及身份验证、错误处理、安全防护等方面的作用。同时,列举了IIS、Apache、Tomcat、JBoss和WebLogic等常见中间件的漏洞及其防御措施。

尊敬的读者们,中间件在现代应用程序开发中扮演着重要的角色。无论是Web应用程序还是移动应用程序,中间件都提供了一种优雅的方式来处理请求和响应之间的逻辑。在本文中,我们将深入探讨中间件的概念、作用以及如何在您的应用程序中使用中间件来简化和增强开发过程

什么是中间件?

中间件(Middleware)是现代Web框架中常见的概念,它在处理Web请求和响应的过程中起到了关键的作用。中间件是一个位于Web框架的请求-响应处理流程中的组件。它接收HTTP请求,并经过自身的处理后,可以选择继续将请求传递给下一个中间件或者终止请求并返回响应。中间件可以在请求处理前、处理过程中或处理后执行各种操作,如身份验证、日志记录、错误处理等。

中间件的作用

中间件具有以下几个重要作用:

  1. 身份验证和授权:中间件可以识别请求的身份信息,验证用户是否具有访问权限,并根据结果决定是否继续处理请求。

  2. 请求和响应处理:中间件可以在处理请求之前或之后,对请求和响应进行修改或记录。例如,可以对请求进行参数解析和校验,对响应进行格式化和过滤。

  3. 错误处理:中间件可以捕获应用程序中的错误,并进行相应的处理。它可以记录错误日志、发送错误报告或向用户显示友好的错误页面。

  4. 安全防护:中间件可以对请求进行安全检查,如防止SQL注入、跨站脚本攻击等。它可以过滤恶意请求,确保应用程序的安全性。

  5. 缓存和性能优化:中间件可以对特定请求进行缓存,提高响应速度和应用程序的性能。它可以将静态资源缓存在CDN上,减轻服务器的负载。

iis6.0解析漏洞

该版本默认将*.asp;.jpg此类格式的文件名,当成asp解析,服务器默认;后面的内容不解析,相当于截断,例如上传asp木马,就可以用xx.asp;.jpg来绕过;iis除了会将asp解析成脚本执行文件之外,还会将 cer cdx asa扩展名解析成asp

防御方法: 1.禁止上传和创建此类畸形文件 2.图片存放目录设置为禁止脚本执行

iis7.x解析漏洞

iis7.x版本在Fast-CGI运行模式下,在任意文件,例如:a.jpg/png后面加上/.php,会将.jpg/png解析为php文件。

Apache

未知拓展名解析漏洞 apache默认一个文件可以有多个以点切割的后缀,当最右的后缀无法识别时,就继续向左识别,直到识别到合法后缀才开始解析,如xxx.php.qqq,qqq无法识别,就继续解析,到php时能够识别,就解析为php文件,

换行解析漏洞 apache换行解析漏洞(CVE-2017-15715) 其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

防御方法:将上传的文件重命名为为时间戳+随机数+.jpg的格式并禁用上传文件目录执行

Tomcat中间件

Tomcat弱口令&war远程部署

Tomcat存在后台管理,账号密码设置在conf/tomcat-users.xml

可能存在的安全问题:弱口令或爆破(爆破采用数据包base64传递认证)

这里先把我们的shell.jsp在本地打包成zip,然后重命名为war,之后上传war,它会自动解压,从而getshell

JBoss中间件

1.JMX Console未授权访问Getshell 此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进⼊到jmx控制台,并在其中执⾏任何功能

        防御方法:

1.升级jboss

2.关闭jmx-console和web-console,提高安全性 JBoss 5.x/6.x 反序列化命令执行漏洞(CVE-2017-12149) 该漏洞出现在/invoker/readonly中 ,服务器将用户post请求内容进行反序列化用工具来验证,在验证之前我们可以访问路径进行初步判断url://invoker/readonly,看服务器返回情况如下则说明漏洞存在

修复:升级新版本,删除 http-invoker.sar 组件。

weblogic中间件

1.弱口令

原理:在weblogic搭建好之后没有修改进入后台的密码导致弱口令登录获得webshell 访问http://192.168.1.10:7001/console 这里注意一下不能使用bp抓包去爆破,错误密码5次之后就会自动锁定,这里使用weblogic/Oracle@123登陆后台

2.WebLogic 未授权访问漏洞(CVE-2018-2894)

在ws-testpage-impl.jar/com.oracle.webservices.testclient.ws.res.WebserviceResource 类中存在importWsTestConfig方法 跟进 RSdataHelper的convertFormDataMultiPart方法,接下来调用convertFormDataMultiPart方法,文件直接由字段 文件名拼接而成,没有任何限制。 <a name="c7ewd"></a>

通过URL来初步分析后台

通常网站的首页文件名为index.xxx 扩展名表示的是当前首页文件为何种语言编写 index.html 表示使用超文本标签语言编写,一般为静态站

开发语言操作系统网站环境数据库环境
index.phpphpwin/linuxapache、Nginxmysql
index.jspjavalinuxtomcatoracle
index.aspasp.netwinIISsqlserver

初步判断网站使用何种操作系统可以使用ping命令,看返回信息的TTL值,64为Linux 128以上为Windows。

中间件介绍
blotemj.blog.csdn.net
12-02 352
中间件屏蔽了底层分布式环境的复杂性异构性,为上层的应用软件提供了一致的运行环境,使得开发者可以更加专注于业务逻辑的实现,而无需过多地关注底层技术细节。:提供基于Web的服务接口,支持SOAP、REST等协议,实现跨系统的互操作。中间件在现代软件开发运维中扮演着至关重要的角色,它极大地简化了系统的构建管理,提高了系统的可靠性性能。:中间件可以管理业务流程,包括工作流、事务处理、并发控制等,确保业务逻辑的正确执行。:中间件提供了安全机制,如加密、身份验证访问控制,以保护敏感数据系统的完整性。
【云计算学习教程】什么是中间件?常见中间件有哪些?
qq_41854911的博客
01-02 1万+
文章目录中间件是什么为什么使用中间件主要中间件的分类1. Hadoop2. LVS3. Linux-HA4. 静态网站服务器5. 动态应用服务器DNS、DHCP、KerberosRadius:云计算基础服务组件1. DNS2. DHCP3. Kerberos1)身份认证2)权限管理3)联邦单点登录4)外围系统认证集成5)自适应风险评估4. Radius云计算管理工具简介OpenStack是什么?CloudStack(CloudPlatform)是什么?谈谈Eucalyptus云端管理工具1)云控制器(C
中间件详解与应用场景
fudaihb的博客
10-16 2686
随着信息技术的飞速发展,应用系统变得日益复杂,软件架构逐步从单体应用演变为分布式系统。在这种复杂的环境中,如何使各个系统、服务组件之间顺畅地通信、协作,成为了软件开发中的关键问题。中间件(Middleware)作为一种连接不同应用程序服务的中间层技术,帮助解决了这一难题。 本文将详细介绍中间件的概念、分类、常见的中间件类型及其应用场景,并结合具体示例帮助读者理解中间件的实际作用
一文说清楚.NET中间件与过滤器的区别——别再傻傻分不清了(三)
最新发布
qq_42012617的博客
04-16 350
文章摘要 ASP.NET Core中的中间件过滤器虽然都能拦截请求,但存在关键区别: 作用范围 中间件是全局的,处理所有请求(包括静态文件、404等)。 过滤器是局部的,仅对匹配到MVC/Razor Page的请求生效。 执行时机 中间件在路由解析前/后运行,无法获取Action参数。 过滤器在MVC管道内执行,可访问Action上下文(如模型绑定、参数)。 适用场景 中间件:全局日志、CORS、静态文件、异常捕获。 过滤器:接口限流、参数校验、Action级缓存。 核心差异:中间件处理HTTP基础流程,
对新手的初级入门,什么是中间件
INTERMEDIAT的博客
07-16 2万+
为什么写? 1.很多人听过中间件,但是没见过中间件,或者根本不知道中间件是什么,傻X百科上面的定义实在是模糊,所以就有了写这片博客的冲动。 定义:中间件,顾名思义存在于两个系统之间的,起到连接的设备。 (1)为什么是设备? 硬件软件在一定程度上可以互用,中间件既可以是硬件,也可以是软件,所以我说是设备,而不定义为,硬件或者软件的一种。 (2)起到连接作用怎么理解?中间件可以在两个软件之间起到连接...
什么是中间件
热门推荐
学Java,找哪吒
06-06 4万+
一、百度百科 中间件是介于应用系统系统软件之间的一类软件,它使用系统软件所提供的基础服务(功能),衔接网络上应用系统的各个部分或不同的应用,能够达到资源共享、功能共享的目的。目前,它并没有很严格的定义,但是普遍接受IDC的定义:中间件是一种独立的系统软件服务程序,分布式应用软件借助这种软件在不同的技术之间共享资源,中间件位于客户机服务器的操作系统之上,管理计算资源网络通信。 从这个意义上可以用一个等式来表示中间件中间件=平台+通信,这也就限定了只有用于分布式系统中才能叫中间件,同时也把它与支撑软件
koa-middlewares:简化Koa中间件的使用
gitblog_00663的博客
01-10 361
koa-middlewares:简化Koa中间件的使用 koa-middlewares是一个旨在简化Koa中间件使用流程的开源项目,主要使用的编程语言是JavaScript。 核心功能 该项目汇集了一系列实用的Koa中间件,使得开发者能够轻松地将其集成到Koa应用程序中。这些中间件包括但不限于: koa-bodyparser:用于解析POST请求的body数据。 koa-compress:提供压...
如何快速掌握MiddyJS:简化AWS Lambda开发的终极中间件引擎指南
gitblog_00092的博客
02-25 479
MiddyJS是一个功能强大的Node.js中间件引擎,专为AWS Lambda设计,能够帮助开发简化无服务器函数的开发流程。它提供了一种优雅的方式来处理常见的Lambda任务,如请求验证、错误处理响应格式化,让开发者可以专注于核心业务逻辑。 [![MiddyJS标志](https://raw.gitcode.com/gh_mirrors/mi/middy/raw/f67cc38a4a35f
其他内容:Nodejs 中的中间件
新华编程特战队
03-05 2584
我们将 Web 服务器视为一个函数,它接收请求对象并输出响应。中间件是介于请求-响应周期之间的任何内容。因此,我们可以说中间件是一种用于连接一堆隔离系统以交互执行某些任务的功能。当 Web 服务器收到 HTTP 请求时,express 会给出一个对象,其中包含有关数据、请求的资源、客户端的 IP 地址一些浏览器信息的详细信息。此对象是请求对象 (req)。同样,响应对象 (res) 也由 express 提供。在将响应对象发送给用户之前,也可以对其进行修改。
如何使用Middy:优雅简化AWS Lambda开发的Node.js中间件引擎
gitblog_00087的博客
02-25 514
Middy是一个为AWS Lambda设计的Node.js中间件引擎,它能帮助开发简化Lambda函数的开发流程,将通用功能如认证、日志、错误处理等通过中间件形式模块化管理,让开发者专注于核心业务逻辑。 [![Middy中间件引擎标志](https://raw.gitcode.com/gh_mirrors/mi/middy/raw/f67cc38a4a35f3d969a6759412fd05f
通俗易懂的讲讲什么是中间件
modi000的博客
06-21 7425
由此说使用中间件需要解决的第一个问题就是互通性,也就是相互间可以通信。在项目的架构重构中,使用任何技术架构的改变我们都需要谨慎斟酌思考,因为任何技术的融λ变化都可能人员、技术成本的增加,中间件的技术般现在些互联网公司或者项目中使用比较多,如果你仅仅还只是一个初创司建议还是使用单体架构,最多加个缓存中间件即可,不要盲目迫求新或者所谓的高性能,而追求的背后一定是业务的驱动项目的驱动,因为一旦追求就意味着你的学习成本,公司的人员结构以及服务器成本,维护运维的成本都会加,所以需要谨忪择考虑。
详解中间件
weixin_28973855的博客
05-15 244
中间件(Middleware)是软件开发中一种常见的设计模式,其核心思想是‌在核心逻辑的执行过程中插入可扩展的附加功能模块‌。
中间件是什么
QQ1817117243的博客
09-03 1644
中间件是软件架构中的重要组成部分,提供了应用程序之间的通信、数据管理其他服务。它使得开发者能够更高效地构建维护复杂的分布式系统,尤其是在微服务架构云计算环境中。
一文读懂中间件
何哥的博客
12-05 2124
在码农的日常工作中, 经常会提到中间件,然而大家对中间件的理解并不一致,导致了一些不必要的分歧误解。“中间件”一词被用来描述各种各样的软件产品,在不同文献中有着许多不同的中间件定义,包括操作系统(/或网络)应用程序之间的软件层,以及两个应用程序之间的“粘合剂”。它也被描述为一种重要的集成工具,或支持与分布式软件的模块化连接。一般而言中间件框架的区别是,中间件是独立运行的用于处理某项专门业务的CS程序,会有配套的客户端服务端,框架虽然也是处理某个专门业务的但是它不是独立程序,是寄宿在宿主程序进程内的
一文读懂中间件:分布式系统的关键支撑技术
编程在手天下我有的博客
04-13 1594
中间件是连接操作系统、网络与应用程序的关键技术,在分布式系统中不可或缺。它作为桥梁纽带,能解决系统复杂性问题。其功能丰富,包括通信支持(连接建立等)、数据处理(数据转换等)、资源管理(连接、线程、内存管理)及安全保障(身份验证等)。常见类型有消息、应用服务器、数据库、分布式中间件,如 ActiveMQ、WebLogic 等。中间件作用显著,可提升开发效率,增强系统性能,促进系统集成,还能支持系统随业务发展进行扩展。
什么是中间件? --分布式系统的隐形桥梁
欢迎来到我的博客
08-14 2041
中间件是位于操作系统与应用程序之间的软件层,主要用于抽象底层复杂性、提供通用服务促进系统互操作性。它通过解耦应用程序组件、简化开发流程、提高系统可靠性可扩展性等优势,成为分布式系统的关键基础设施。常见的中间件类型包括通信中间件(如消息队列、RPC框架)、数据库中间件(如ORM)、应用服务器、企业服务总线(ESB)API网关等。随着云原生微服务架构的普及,中间件进一步演化为服务网格等新形态,持续为复杂系统提供高效连接管理能力,其核心价值始终在于降低分布式系统开发与维护的复杂度。
中间件技术
左直拳的马桶_日用桶
04-05 4146
中间件是一种独立的系统软件或服务程序
渗透测试-WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx)
lza20001103的博客
08-18 5801
渗透测试-WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx) WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx) m0be1 Hacking黑白红 2022-06-13 23:47 发表于安徽 文章目录渗透测试-WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx)目录中间件Apache一、Apac
golang学习之gin(七):中间件:
浅弋、璃鱼的博客
11-15 2472
文章目录一、介绍:1. 什么是中间件:2. 中间件作用3. 使用场景二、中间件的使用:1. 使用中间件:2. 中间价的使用位置说明3. 中间件执行顺序示例:三、gin内置中间件:四、自定义中间件:1. 自定义中间件的两种方式:五、中间件中的NextAbort:1. Next:2.Abort:3. 中间件执行顺序示例六、在全局、路由组、局部的使用:1. 全局:2. 路由组:3.局部: 一、介绍: 使用 BasicAuth 中间件: https://gin-gonic.com/zh-cn/docs/exam
什么是中间件?中间件有哪些?
weixin_45840241的博客
04-28 2万+
中间件(Middleware)是指在客户端服务器之间的一层软件组件,用于处理请求响应的过程。中间件是指介于两个不同系统之间的软件组件,它可以在两个系统之间传递、处理、转换数据,以达到协同工作的目的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Administrator_ABC

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值