JSP多种web应用服务器导致JSP源码泄漏漏洞

JSP多种web应用服务器导致JSP源码泄漏漏洞

作者:中联绿盟 汉化:不详 整理:JSPER

受影响的系统:
BEA Systems Weblogic 4.5.1

- Microsoft Windows NT 4.0

BEA Systems Weblogic 4.0.4

- Microsoft Windows NT 4.0

BEA Systems Weblogic 3.1.8

- Microsoft Windows NT 4.0

IBM Websphere Application Server 3.0.21

- Sun Solaris 8.0

- Microsoft Windows NT 4.0

- Linux kernel 2.3.x

- IBM AIX 4.3

Unify eWave ServletExec 3.0

- Sun Solaris 8.0

- Microsoft Windows 98

- Microsoft Windows NT 4.0

- Microsoft Windows NT 2000

- Linux kernel 2.3.x

- IBM AIX 4.3.2

- HP HP-UX 11.4

描述:

--------------------------------------------------------------------------------

 

  很多webserver对大小写是敏感的,但对后缀的大小写映射并没有做正确的处理。只要在URL中将JSP或者JHTML文件后缀从小写变成大写,Web服务器就不能正确处理这个文件后缀,而将其做为纯文本显示,攻击者可能得到这些程序的源代码。

<* 来源: stuart.mcclure@FOUNDSTONE.COM *>

--------------------------------------------------------------------------------

建议:

Unify eWave ServletExec:

Unify说缺省安装的Servlet不会泄漏源代码

BEA Systems Weblogic:

临时解决办法:

对所有的可能的大小写后缀增加handler处理:

.jsp 文件:

.jsp .Jsp .jSp .jsP .JSp .jSP .JsP .JSP

.jhtml 文件:

.jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml

.JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML

.JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL

.jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML

厂商已经提供一个针对3.1.8版本的补丁,可以在下列地址下载:

ftp://ftpna.beasys.com/pub/releases/318/caseSensitiveNTFix318.zip

IBM WebSphere Application Server:

IBM已经提供了相应的补丁程序,地址在:

http://www-4.ibm.com/software/webservers/appserv/efix.html

更新日期:2000-07-12                                摘自:绿色兵团

时间: 2024-10-09 21:15:15

JSP多种web应用服务器导致JSP源码泄漏漏洞的相关文章

JSP多种web应用服务器导致JSP源码泄漏漏洞_JSP编程

JSP多种web应用服务器导致JSP源码泄漏漏洞 作者:中联绿盟 汉化:不详 整理:JSPER 受影响的系统: BEA Systems Weblogic 4.5.1 - Microsoft Windows NT 4.0 BEA Systems Weblogic 4.0.4 - Microsoft Windows NT 4.0 BEA Systems Weblogic 3.1.8 - Microsoft Windows NT 4.0 IBM Websphere Application Server

ComponentArt Web.UI 2008.1 源码+完美无限制DLL+官方实例+注册码

ComponentArt Web.UI 2008.1 源码+完美无限制DLL+官方实例+注册码 ComponentArt Web.UI 2008.1 源码+完美无限制DLL+官方实例 详细介绍及源码下载地址:http://www.51aspx.com/CV/ComponentArtWebUI 顺便提供一个安装序列号:3JKX6-YJW6X-GJJDP 当前:Asp.net源码<漂亮的ComponentArtWebUI及Demo源码>的评论

基于jsp实现新闻管理系统 附完整源码_JSP编程

很棒的新闻发布系统分享给大家,希望大家喜欢. 下面就让我们来说一说基于jsp的新闻发布系统,其中使用的技术有JavaBean.fillter.数据库等,能够实现新闻的发布功能,在发布之后能够进行对每一条新闻的删除.修改.或者继续增加新的文章,最后还能够进行查询功能,其中引用了百度编辑器,能够进行图文并茂的编辑,极大地方便用户的使用. 注:完整项目下载地址:新闻发布系统 一.效果演示 首先让我们来看一看实现的效果: 下面是登陆的首界面: 图1 首界面 管理员登录页面: 图2 管理员登录界面 下面是

ASP.NET Web 服务高级编程 源码?

问题描述 最近想学WEBSERVICE,下载了电子书<ASP.NETWeb服务高级编程>,郁闷的事发生了,WROX已经没有源码下载了,可能是时间太久了,哪位朋友有这本书并能提供源码,万分感谢!我的邮箱hlj8866878@163.com 解决方案 解决方案二:自己顶!解决方案三:人呢!

JSP 统计文件下载次数 急~ 求源码。。。

问题描述 代码是这样的<tdalign="center"valign="middle"bgcolor="#FFFFFF"><ahref="count.jsp?id=<%=id%>">下载</a></td>就是在点下载的时候首先跳到一个count.jsp使计数readflag加1然后再跳转回下载页面.问题是这个count.jsp要怎么写啊?或者还有什么别的办法可以计数啊

基于Lodop控件的Web打印示例(含源码)

      最近项目组的打印控件有所改变,已经换成Lodop控件,使用以后发现,功能确实非常强大.可以打印Web页面内某个控件的内容.下面,还是通过一个实例来说明下吧,医院系统有个模块,是院内感染模块,它需要填写各种报卡,并且填写完以后,要将它打印出来,而且打印出来的效果要和纸制的报卡近乎一致.额,这个要求就比较高喽,如图-1所示,这是其中一张报卡的纸制扫描效果图,我们打印出来的效果要和这个几乎一样. 图-1       现在我们来分析一下这里的打印展示类型.       类型1:患者姓名,卡片

Translate: f ,IIS 5.0 源码泄漏解决方案!

iis|解决 Adam 于 2000-8-18 14:06:40 加贴在 NT系统安全: 英文版我就不说了 中文版: iisrest /stopc:cd \WINNT\system32\inetsrvcacls httpext.dll /d everyoneAre you sure (Y/N)?yiisreset /start All is ok了! 当然,可能还有其他方案!不过我觉得有这一种方法就够了!哪位高手还有其他方案也贴出来共享一下,我不准备继续研究这个了!

jsp 学生信息管理系统源码

问题描述 jsp 学生信息管理系统源码 怎么写完整的 源码 求教 解决方案 JSP学生信息管理系统(全套源码+开发文档+使用手册+设计模型) http://blog.sina.com.cn/s/blog_4b5bc0110101a97r.html 解决方案二: 下载一个现成的参考下:http://download.csdn.net/detail/dsoft2008001/387430http://download.csdn.net/detail/tianbaohau/8306599http://

使用 Java 6 API分析源码

您可曾想过像 Checkstyle 或 FindBugs 这样的工具如何执行静态代码分析吗,或者像 NetBeans 或 Eclipse 这样的集成开发环境(Integrated Development Environments IDE)如何执行快速代码修复或 查找在代码中声明的字段的完全引用吗?在许多情况下,IDE 具有自己的 API 来解析源码并生成标准树 结构,称为 抽象语法树(Abstract Syntax Tree AST) 或"解析树",此树可用于对源码元素的进一步 分析.