jsp黑客脚本

㈠ 黑客攻击的三个阶段是什么黑客在这三个阶段分别完成什么工作

1. 锁定目标

攻击的第一步就是要确定目标的位置，在互联网上，就是要知道这台主机的域名或者IP地址, 知道了要攻击目标的位置还不够，还需要了解系统类型、操作系统、所提供的服务等全面的资料，如何获取相关信息，下面我们将详细介绍。

2. 信息收集

如何才能了解到目标的系统类型、操作系统、提供的服务等全面的资料呢?黑客一般会利用下列的公开协议或工具来收集目标的相关信息。

(1)SNMP 协议：用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节;

(2)TraceRoute程序：用该程序获得到达目标主机所要经过的网络数和路由器数;

(3)Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数;

(4)DNS服务器：该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名;

(5)Finger协议：用来获取一个指定主机上的所有用户的详细信息(如注册名、电话号码、最后注册时间以及他们有没有读邮件等等);

(6)ping：可以用来确定一个指定的主机的位置;

(7)自动Wardialing软件：可以向目标站点一次连续拨出大批电话号码，直到遇到某一正确的号码使其MODEM响应为止。

3. 系统分析

当一个黑客锁定目标之后，黑客就开始扫描分析系统的安全弱点了。黑客一般可能使用下列方式来自动扫描驻留在网络上的主机。

(1)自编入侵程序

对于某些产品或者系统，已经发现了一些安全漏洞，该产品或系统的厂商或组织会提供一些“补丁”程序来进行弥补。但是有些系统常常没有及时打补丁，当黑客发现这些“补丁”程序的接口后就会自己编写能够从接口入侵的程序，通过这个接口进入目标系统，这时系统对于黑客来讲就变得一览无余了。

(2)利用公开的工具

像 Internet 的电子安全扫描程序 ISS(Intemet Security Scanner)、审计网络用的安全分析工具 SATAN ( Securi Ana1ysis Tool for Auditing Network)等。这些工具可以对整个网络或子网进行扫描，寻找安全漏洞。这些工具都有两面性，就看是什么人在使用它们了。系统管理员可以使用它们来帮助发现其管理的网络系统内部隐藏的安全漏洞，从而确定系统中哪些主机需要用“补丁”程序去堵塞漏洞，从而提高网络的安全性能。而如果被黑客所利用，则可能通过它们来收集目标系统的信息，发现漏洞后进行入侵并可能获取目标系统的非法访问权。

4. 发动攻击

完成了对目标的扫描和分析，找到系统的安全弱点或漏洞后，那就是万事具备，只欠攻击了，接下来是黑客们要做的关键步骤——发动攻击。

黑客一旦获得了对你的系统的访问权后，可能有下述多种选择：

(1)试图毁掉攻击入侵的痕迹，并在受到损害的系统上建立另外的新的安全漏洞或后门，以便在先前的攻击点被发现之后，继续访问这个系统;

(2)在你的系统中安装探测软件，包括木马等，用以掌握你的一切活动，以收集他比较感兴趣的东西(不要以为人人都想偷窥你的信件，人家更感兴趣的是你的电子银行帐号和密码之类);

(3)如果你是在一个局域网中，黑客就可能会利用你的电脑作为对整个网络展开攻击的大本营，这时你不仅是受害者，而且还会成为帮凶和替罪羊。

㈡ jsp页面线程安全吗

一般都是不安全的，你可以加isThreadSafe来让他安全些：
<%@ page language="java" import="java.util.*" pageEncoding="GBK" isThreadSafe="true"%>
------------------------------------------------------------------------------
JSP默认是以多线程方式执行的，这是JSP与ASP，PHP，PERL等脚本语言不一样的地方，也是它的优势之一，但如果不注意多线程中的同步问题，会使所写的JSP程序有难以发现的错误。下面以一个例子说明JSP中的多线程问题及解决方法。

一、JSP的中存在的多线程问题：

当客户端第一次请求某一个JSP文件时，服务端把该JSP编译成一个CLASS文件，并创建一个该类的实例，然后创建一个线程处理CLIENT端的请求。如果有多个客户端同时请求该JSP文件，则服务端会创建多个线程。每个客户端请求对应一个线程。以多线程方式执行可大大降低对系统的资源需求,提高系统的并发量及响应时间.对JSP中可能用的的变量说明如下:

1.实例变量
实例变量是在堆中分配的,并被属于该实例的所有线程共享，所以不是线程安全的.
2.JSP系统提供的8个类变量
JSP中用到的OUT,REQUEST,RESPONSE,SESSION,CONFIG,PAGE,PAGECONXT是线程安全的,APPLICATION在整个系统内被使用,所以不是线程安全的.
3.局部变量
局部变量在堆栈中分配,因为每个线程都有它自己的堆栈空间,所以是线程安全的.
4.静态类
静态类不用被实例化,就可直接使用,也不是线程安全的.
5.外部资源:
在程序中可能会有多个线程或进程同时操作同一个资源(如:多个线程或进程同时对一个文件进行写操作).此时也要注意同步问题.
--摘自教程网：《编写线程安全的JSP程序》（徐春金）