JSP多种web应用服务器导致JSP源码泄漏漏洞

JSP多种web应用服务器导致JSP源码泄漏漏洞

作者:中联绿盟 汉化:不详 整理:JSPER

受影响的系统:
BEA Systems Weblogic 4.5.1

- Microsoft Windows NT 4.0

BEA Systems Weblogic 4.0.4

- Microsoft Windows NT 4.0

BEA Systems Weblogic 3.1.8

- Microsoft Windows NT 4.0

IBM Websphere Application Server 3.0.21

- Sun Solaris 8.0

- Microsoft Windows NT 4.0

- Linux kernel 2.3.x

- IBM AIX 4.3

Unify eWave ServletExec 3.0

- Sun Solaris 8.0

- Microsoft Windows 98

- Microsoft Windows NT 4.0

- Microsoft Windows NT 2000

- Linux kernel 2.3.x

- IBM AIX 4.3.2

- HP HP-UX 11.4

描述:

--------------------------------------------------------------------------------

 

  很多webserver对大小写是敏感的,但对后缀的大小写映射并没有做正确的处理。只要在URL中将JSP或者JHTML文件后缀从小写变成大写,Web服务器就不能正确处理这个文件后缀,而将其做为纯文本显示,攻击者可能得到这些程序的源代码。

<* 来源: stuart.mcclure@FOUNDSTONE.COM *>

--------------------------------------------------------------------------------

建议:

Unify eWave ServletExec:

Unify说缺省安装的Servlet不会泄漏源代码

BEA Systems Weblogic:

临时解决办法:

对所有的可能的大小写后缀增加handler处理:

.jsp 文件:

.jsp .Jsp .jSp .jsP .JSp .jSP .JsP .JSP

.jhtml 文件:

.jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml

.JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML

.JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL

.jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML

厂商已经提供一个针对3.1.8版本的补丁,可以在下列地址下载:

ftp://ftpna.beasys.com/pub/releases/318/caseSensitiveNTFix318.zip

IBM WebSphere Application Server:

IBM已经提供了相应的补丁程序,地址在:

http://www-4.ibm.com/software/webservers/appserv/efix.html

更新日期:2000-07-12                                摘自:绿色兵团

(0)

相关推荐

  • jsp web.xml文件的作用及基本配置

    一个web中完全可以没有web.xml文件,也就是说,web.xml文件并不是web工程必须的. 那什么时候需要,什么时候可以不需要呢? 要想回答上面的问题,得先了解web.xml文件使用来干什么的.web.xml文件是用来配置:欢迎页.servlet.filter等的.当你的web工程没用到这些时,你可以不用web.xml文件来配置你的web工程. 那么web.xml能做的所有事情都有那些? 其实,web.xml的模式(Schema)文件中定义了多少种标签元素,web.xml中就可以出现它的模

  • JSP生成jpeg图片用于投票

    一.前言 本文原作者为Tony Wang ,该文章涉及到文件的读写和jpg图片的自动生成.利用jsp+servlet的技术,jsp调用servlet生成图片. 二.首文件index.jsp如下: <%-- Author: Tony Wang E-mail: lucky_tony@163.net Date: 2001-01-01 如果对程序有什么疑问,可以和我联系, 另外程序如果有什么bug,麻烦指出!! --%><%@ page contentType="text/html;c

  • 利用JSP建立Web站点

    JSP是由Sun微系统公司于1999年6月推出的一项技术,是基于JavaServlet以及整个java体系的Web开发技术,利用这一技术可以建立先进.安全和跨平台的动态网站.JSP 与ASP非常相似.两者都提供在HTML 代码中混合某种程序代码.由语言引擎解释执行程序代码的能力.在ASP或JSP 环境下,HTML代码主要负责描述信息的显示样式,而程序代码则用来描述处理逻辑.ASP下的编程语言是 VBScript 之类的脚本语言,而JSP 使用的是Java.TRS及其JavaBeansTRS系统是

  • JSP技术生成动态web页面

    随着WEB技术的发展,WEB内容从一些静态的页到内容丰富的动态页.对于广大WEB开发人员来讲动态页面的生成是一个挑战.有许多的方法来试图解决这个问题,如plug-in技术及基于服务器端的APIs等方法,但存在的一个问题是这些方法是针对某个特定的web服务器,如Microsoft提供的ASP技术就只针对它的IIS及Personal web服务器. 目前用于生成动态网页较为流行的方法有CGI.PHP及JavaServer Page(JSP)技术等.其中:CGI通过访问其它应用程序来获取信息并返回给浏

  • JSP实现的简单Web投票程序代码

    本文实例讲述了JSP实现的简单Web投票程序.分享给大家供大家参考.具体如下: 这里使用文本文件作为数据存储的投票系统. 1. vote.java: package vote; import java.io.*; import java.util.*; public class vote { public String filePath = ""; public int n; private File voteFile; private BufferedReader fileRead;

  • JSP学习之Java Web中的安全控制实例详解

    本文实例讲述了JSP学习之Java Web中的安全控制.分享给大家供大家参考.具体如下: 一.目标: ① 掌握登录之后的一般处理过程: ② 能够为每个页面添加安全控制: ③ 能够共享验证代码: ④ 使用过滤器对权限进行验证: ⑤ 能够对文件的局部内容进行验证: ⑥ 掌握安全验证码的基本实现方式: ⑦ 通过异常处理增强安全性. 二.主要内容: ① 通过修改前面的登录功能,分别对管理员和普通用户的登录进行处理: ② 为管理员才能访问的页面添加控制: ③ 共享各个页面中的控制代码,使用专门的文件,然后

  • JSP多种web应用服务器导致JSP源码泄漏漏洞

    JSP多种web应用服务器导致JSP源码泄漏漏洞 作者:中联绿盟 汉化:不详 整理:JSPER 受影响的系统: BEA Systems Weblogic 4.5.1 - Microsoft Windows NT 4.0 BEA Systems Weblogic 4.0.4 - Microsoft Windows NT 4.0 BEA Systems Weblogic 3.1.8 - Microsoft Windows NT 4.0 IBM Websphere Application Server

  • 基于jsp实现新闻管理系统 附完整源码

    很棒的新闻发布系统分享给大家,希望大家喜欢. 下面就让我们来说一说基于jsp的新闻发布系统,其中使用的技术有JavaBean.fillter.数据库等,能够实现新闻的发布功能,在发布之后能够进行对每一条新闻的删除.修改.或者继续增加新的文章,最后还能够进行查询功能,其中引用了百度编辑器,能够进行图文并茂的编辑,极大地方便用户的使用. 注:完整项目下载地址:新闻发布系统 一.效果演示 首先让我们来看一看实现的效果: 下面是登陆的首界面: 图1 首界面 管理员登录页面: 图2 管理员登录界面 下面是

  • 基于Flowplayer打造一款免费的WEB视频播放器附源码

    Flowplayer 是一个开源(GPL 3的)WEB视频播放器.您可以将该播放器嵌入您的网页中,如果您是开发人员,您还可以自由定制和配置播放器相关参数以达到您要的播放效果.本文主要介绍Flowplayer的使用. 查看演示   源码下载 Flowplayer支持播放flv.swf等流媒体以及图片文件,能够非常流畅的播放视频文件,支持自定义配置和扩展. 1.加载flowplayer.js 在要播放视频的页面的head之间加入flowplayer.js. <script type="text

  • 基于javaweb+jsp的游泳馆会员管理系统(附源码)

    目录 适用 运行环境 开发工具 技术框架 适用 功能说明 源代码 基于javaweb+jsp的游泳馆会员管理系统 JavaWeb JavaBean JSP MVC MySQL Tomcat JavaScript Bootstrap Ajax 基础JSP+Servlet或JSP+SSM(Spring.SpringMVC.MyBatis)框架或JSP+SSM+Maven(pom.xml)框架或SpringBoot…均可 开发工具:eclipse/idea/myeclipse/sts等均可配置运行 适

  • 关于oblog、动易、风讯等拥有源码编辑的程序漏洞浅析

    目前的oblog.动易.风讯等一系列著名的系统,都存在源码编辑漏洞. 具体操作是: 1,进入"源码"编辑 2,输入阶段公分四段: 第一段:<此处输入正文,做事需要手下留情嘛,来点实际内容> 第二段:<script>document.write('<div style="display:none">');</script> 第三段:<此处输入作弊链接,获取google的pr值,此处的内容将不会被浏览者看 到,且不会

  • JSP实用教程之简易页面编辑器的实现方法(附源码)

    前言 实现一个简易的页面编辑器是大家在学习jsp的时候经常会遇到的一个需求,发现网上这方便的资料不多,所以想着自己总结下,本文详细介绍了JSP简易页面编辑器的实现方法,下面话不多说,来一起看看详细的介绍: 需求 提供一页面,放置"帮助"."版权"文字内容,特点:静态页面,无须读数据库,只是应付字眼上频繁的修改:没有复杂的交互,无须 JavaScript:没有图片,不需要文件上传. 给出的方案:提供一页面和简易的后台管理,功能单一,只是编辑页面(只是修改字体.大小.粗

  • 详解SpringBoot集成jsp(附源码)+遇到的坑

    本文介绍了SpringBoot集成jsp(附源码)+遇到的坑 ,分享给大家 1.大体步骤 (1)创建Maven web project: (2)在pom.xml文件添加依赖: (3)配置application.properties支持jsp (4)编写测试Controller (5)编写JSP页面 (6)编写启动类App.java 2.新建SpringInitialzr 3.pom文件 <dependencies> <dependency> <groupId>org.s

  • JSP实用教程之简易文件上传组件的实现方法(附源码)

    前言 本文主要给大家介绍的是关于JSP简易文件上传组件的实现方法,分享出来供大家参考学习,下面话不多说,来一起看看详细的介绍吧. 文件上传,包括但不限于图片上传,是 Web 开发中司空见惯的场景,相信各位或多或少都曾写过这方面相关的代码.Java 界若说文件上传,则言必称 Apache Commons FileUpload,论必及  SmartUpload.更甚者,Servlet 3.0 将文件上传列入 JSR 标准,使得通过几个注解就可以在 Servlet 中配置上传,无须依赖任何组件.使用第

  • 基于jquery实现可定制的web在线富文本编辑器附源码下载

    今天给大家介绍一款非常棒的WEB在线富文本编辑器--UMeditor,它是由百度web前端研发部开发所见即所得富文本web编辑器UEditor演变的迷你版编辑器,具有轻量,可定制,注重用户体验等特点,允许自由使用和修改代码,适用于前台快速简单回复框或后台内容编辑器. 在线预览     源码下载 如何使用? 建立一个demo.html文件,首先在需要添加编辑器的地方加入以下代码,使用style可以设置编辑器的宽度和高度. <script type="text/plain" id=&

  • 配置Web应用环境实现JSP留言簿

    Java Server Page(简称JSP),和ASP.PHP一样都是网络编程语言,只不过在JSP页面中插入的脚本代码是Java语句片段.要利用JSP编写应用,首先,必须要有一个能执行JSP脚本的Web服务器,可以在原有的Apache.IIS或PWS服务器的基础上建立,不过有许多技术上的问题.建议刚接触JSP的虫们,还是白手起家,直接安装一个专门支持JSP的Web服务器,以免节外生枝,这里给大家介绍的是Tomcat 3.1. 熟悉网络编程的人都知道,在网络编程中要是没有数据库的支持,一件很简单

随机推荐