您的位置:首页网页设计JSP文摘 → JSP多种web应用服务器导致JSP源码泄漏漏洞

JSP多种web应用服务器导致JSP源码泄漏漏洞

时间:2004/11/7 3:41:00来源:本站整理作者:蓝点我要评论(0)

JSP多种web应用服务器导致JSP源码泄漏漏洞



作者:中联绿盟 汉化:不详 整理:JSPER





受影响的系统:

BEA Systems Weblogic 4.5.1



- Microsoft Windows NT 4.0



BEA Systems Weblogic 4.0.4



- Microsoft Windows NT 4.0



BEA Systems Weblogic 3.1.8



- Microsoft Windows NT 4.0



IBM Websphere Application Server 3.0.21



- Sun Solaris 8.0



- Microsoft Windows NT 4.0



- Linux kernel 2.3.x



- IBM AIX 4.3



Unify eWave ServletExec 3.0



- Sun Solaris 8.0



- Microsoft Windows 98



- Microsoft Windows NT 4.0



- Microsoft Windows NT 2000



- Linux kernel 2.3.x



- IBM AIX 4.3.2



- HP HP-UX 11.4



描述:



--------------------------------------------------------------------------------







很多webserver对大小写是敏感的,但对后缀的大小写映射并没有做正确的处理。只要在URL中将JSP或者JHTML文件后缀从小写变成大写,Web服务器就不能正确处理这个文件后缀,而将其做为纯文本显示,攻击者可能得到这些程序的源代码。



<* foundstone.com="">



--------------------------------------------------------------------------------



建议:



Unify eWave ServletExec:



Unify说缺省安装的Servlet不会泄漏源代码



BEA Systems Weblogic:



临时解决办法:



对所有的可能的大小写后缀增加handler处理:



.jsp 文件:



.jsp .Jsp .jSp .jsP .JSp .jSP .JsP .JSP



.jhtml 文件:



.jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml



.JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML



.JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL



.jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML



厂商已经提供一个针对3.1.8版本的补丁,可以在下列地址下载:



ftp://ftpna.beasys.com/pub/releases/318/caseSensitiveNTFix318.zip



IBM WebSphere Application Server:



IBM已经提供了相应的补丁程序,地址在:



http://www-4.ibm.com/software/webservers/appserv/efix.html



更新日期:2000-07-12                                摘自:绿色兵团

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 没有查询到任何记录。

最新文章 没有查询到任何记录。 JSP内置对象详解告诉大家什么是JSPJava 7的主要变化一个开发人员眼中的JSP技术下

人气排行 C++生成随机数—生成任意范围内的等概率随机apache tomcat的snoop servlet漏洞 IBM WebSphere Application Server 3.0.2 存BEA WebLogic 暴露源代码漏洞c++中new和delete的使用方法基于JSP的动态网站开发技术Java线程的深入探讨JSP多种web应用服务器导致JSP源码泄漏漏洞