Linux中国  设为主页
 收藏本站
 
当前位置: > 首页 ->编程语言 ->JAVA/JSP教程 ->JSP多种web应用服务器导致JSP源码泄漏漏洞
  相关分类: 
ASP
ViualBasic
UML / Rational Rose
PHP4/PHP5
Perl
JAVA/JSP教程
Delphi
ColdFusion
CGI
C/C++
ASP.NET
XML
  站内搜索: 
热门文章排行
热门文章排行 用Eclipse进行可视化Java界面设计(04-11)
JSP Struts之HTML标签库详解(04-28)
jsp,html 清除页面缓存(04-28)
JSP取当前日期(06-03)
jsp 内嵌网页内容--iframe(04-28)
精采文章排行
精采文章排行 Servlet和JSP迈上新台阶(06-03)
jsp2.0新特性(06-03)
JSP 2.1和JSF 1.2规范发布预览版本(06-03)
JSP 2.1技术规范投票通过 表达式语言(06-03)
基于JSP的动态网站开发技术(06-03)
  ·Servlet和JSP迈上新台阶·JSP 2.1技术规范投票通过 表达式语言有所·JSP 2.1和JSF 1.2规范发布预览版本·基于JSP的动态网站开发技术·Java线程的深入探讨·JRun常见问题回答·tomcat 3.1在RedHat下的安装·JSP多种web应用服务器导致JSP源码泄漏漏·我认为JSP有问题(下)

JSP多种web应用服务器导致JSP源码泄漏漏洞

作者:Webmaster   来源:Linuxdby.com   点击:   日期:2007-06-03 [收藏] [投稿]

  IE是否经常中毒?推荐您

JSP多种web应用服务器导致JSP源码泄漏漏洞

作者:中联绿盟 汉化:不详 整理:JSPER


受影响的系统:
BEA Systems Weblogic 4.5.1

- Microsoft Windows NT 4.0

BEA Systems Weblogic 4.0.4

- Microsoft Windows NT 4.0

BEA Systems Weblogic 3.1.8

- Microsoft Windows NT 4.0

IBM Websphere Application Server 3.0.21

- Sun Solaris 8.0

- Microsoft Windows NT 4.0

- Linux kernel 2.3.x

- IBM AIX 4.3

Unify eWave ServletExec 3.0

- Sun Solaris 8.0

- Microsoft Windows 98

- Microsoft Windows NT 4.0

- Microsoft Windows NT 2000

- Linux kernel 2.3.x

- IBM AIX 4.3.2

- HP HP-UX 11.4

描述:

--------------------------------------------------------------------------------

 

  很多webserver对大小写是敏感的,但对后缀的大小写映射并没有做正确的处理。只要在URL中将JSP或者JHTML文件后缀从小写变成大写,Web服务器就不能正确处理这个文件后缀,而将其做为纯文本显示,攻击者可能得到这些程序的源代码。

<* 来源: stuart.mcclure@FOUNDSTONE.COM *>

--------------------------------------------------------------------------------

建议:

Unify eWave ServletExec:

Unify说缺省安装的Servlet不会泄漏源代码

BEA Systems Weblogic:

临时解决办法:

对所有的可能的大小写后缀增加handler处理:

.jsp 文件:

.jsp .Jsp .jSp .jsP .JSp .jSP .JsP .JSP

.jhtml 文件:

.jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml

.JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML

.JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL

.jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML

厂商已经提供一个针对3.1.8版本的补丁,可以在下列地址下载:

ftp://ftpna.beasys.com/pub/releases/318/caseSensitiveNTFix318.zip

IBM WebSphere Application Server:

IBM已经提供了相应的补丁程序,地址在:

http://www-4.ibm.com/software/webservers/appserv/efix.html

更新日期:2000-07-12                                摘自:绿色兵团


 如果您对本文有任何疑问或者建议,请到讨论区发表您的意见: >> 论坛入口 <<



上一篇:我认为JSP有问题(下)   下一篇:tomcat 3.1在RedHat下的安装
文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论

   相关文章:
·jsp2.0新特性

   文章评论:(1条)
  
 请留名: 匿名评论   点击查看所有评论 论坛讨论
 

 声明:刊登此文章是为了传递更多信息,文章内容仅供参考,转载请注明出处。