WEBPWN Telegram 304
tgoop.com » United States » Кавычка » Telegram web » Post 304
Кавычка
Параметры можно передавать не только в виде привычного Query, типа:

site/path?param=123&param2=456

Есть такая штука, называется Path-Style Parameter Expansion (или Matrix в Spring).
Выглядит это подобным образом:

site/path;param=123;param2=456

Главное отличие, что Path Parameters можно передавать к конкретному пути, в то время как query применяется к запросу в целом:

site/user;id=123/send;message=456/?page=789


Так вот, в Tomcat/Jetty знак ; укажет, что дальше идут эти параметры до следующего символа /. А если впереди стоит nginx/apache, то символ для него ничего не значит, это будет просто частью имени директории.

Таким образом, обращение на условный /doc/..;abc=def/manager приведет к тому, что Tomcat обратится к
/doc/../manager, то есть выйдет из текущего сервлета и обратится к manager (админка tomcat).

P.S. Я всегда думал, что ; для Java, это что-то вроде нульбайта, который обрезает строку (в weblogic, кстати, обрезается вся строка). Но GreenDog (можно познакомиться с ним у МимоКрокодила) мне рассказал, откуда корни растут.

P.P.S. Еще по теме, Orange Tsai с примерами на BlackHat (с 40й страницы)
🔥1
www.tgoop.com/webpwn/304
24.4K viewsBo0oM, edited  



tgoop.com/webpwn/304
Create:
Last Update:

Параметры можно передавать не только в виде привычного Query, типа:

site/path?param=123&param2=456

Есть такая штука, называется Path-Style Parameter Expansion (или Matrix в Spring).
Выглядит это подобным образом:

site/path;param=123;param2=456

Главное отличие, что Path Parameters можно передавать к конкретному пути, в то время как query применяется к запросу в целом:

site/user;id=123/send;message=456/?page=789


Так вот, в Tomcat/Jetty знак ; укажет, что дальше идут эти параметры до следующего символа /. А если впереди стоит nginx/apache, то символ для него ничего не значит, это будет просто частью имени директории.

Таким образом, обращение на условный /doc/..;abc=def/manager приведет к тому, что Tomcat обратится к
/doc/../manager, то есть выйдет из текущего сервлета и обратится к manager (админка tomcat).

P.S. Я всегда думал, что ; для Java, это что-то вроде нульбайта, который обрезает строку (в weblogic, кстати, обрезается вся строка). Но GreenDog (можно познакомиться с ним у МимоКрокодила) мне рассказал, откуда корни растут.

P.P.S. Еще по теме, Orange Tsai с примерами на BlackHat (с 40й страницы)

BY Кавычка


Share with your friend now:
tgoop.com/webpwn/304

View MORE
Open in Telegram


Telegram News

Date: |

4How to customize a Telegram channel? As the broader market downturn continues, yelling online has become the crypto trader’s latest coping mechanism after the rise of Goblintown Ethereum NFTs at the end of May and beginning of June, where holders made incoherent groaning sounds and role-played as urine-loving goblin creatures in late-night Twitter Spaces. Telegram is a leading cloud-based instant messages platform. It became popular in recent years for its privacy, speed, voice and video quality, and other unmatched features over its main competitor Whatsapp. Select: Settings – Manage Channel – Administrators – Add administrator. From your list of subscribers, select the correct user. A new window will appear on the screen. Check the rights you’re willing to give to your administrator.
from us


Параметры можно передавать не только в виде привычного Query

 Кавычка TG
web: 304
Кавычка.Telegram web
Кавычка Telegram TG Channel
Telegram Updated:
Telegram Кавычка
FROM American