Allair JRUN 非法读取 WEB-INF 漏洞 

JRun

  涉及程序:
JRUN

描述:
Allair JRUN 非法读取 WEB-INF 漏洞

详细:
在Allaire 的 JRUN 服务器 2.3版本中存在一个严重的安全漏洞。它允许一个攻击者在 JRun 3.0 服务器中查看 WEB-INF 目录。

如果用户在提交 URL 请求时在,通过附加一个“/”使该 URL 成为畸形的 URL,这时 WEB-INF 下的所有子目录将会暴露出来。攻击者巧妙的利用该漏洞将能够远程获得目标主机系统中 WEB-INF 目录下的所有文件的读取权限。

例如使用下面这个 URL 将会暴露 WEB-INF 下的所有文件:
http://site.running.jrun:8100//WEB-INF/

受影响的系统:
Allaire JRun 3.0

解决方案:
下载并安装补丁:
Allaire patch jr233p_ASB00_28_29
http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip
Windows 95/98/NT/2000 and Windows NT Alpha

Allaire patch jr233p_ASB00_28_29tar
http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz
UNIX/Linux patch - GNU gzip/tar

时间: 2024-09-21 00:41:14

Allair JRUN 非法读取 WEB-INF 漏洞 的相关文章

C#之读取web上的xml

一.使用LINQ读取 使用Xdocument上的Load方法,可以快速的加载一个XML文档,然后使用LINQ对 加载XML文档进行查询或其他操作,这里仅简单偏历.所以,一旦查询一组元素有返回元素集,就可以使用一个简单的foreach循环访问每一个元素.核心代码如下: /// <summary> /// 使用LINQ读取web上的xml /// </summary> public static void UseLINQ() { string sURL = "http://l

android开发-android 读取web服务器的blob字段值

问题描述 android 读取web服务器的blob字段值 求各位高手赐教: 新手入门android,在开发一个应用,访问一个web服务器获取服务器端的数据,其中主要内容保存在oracle数据库的一个blob字段里,里面保存了中文和图片数据,现在要此字段的内容在android端通过访问web端来获取,web获取到后返回给手机端,手机端进行解析显示.由于blob在oracle数据库端保存的数二进制码,所以在android端获取到的也是二进制,该如何转换,让其可以像正常的中文和图片一样显示.web端

施耐德电气重要信息安全通知——M340以太网模块Web服务漏洞

漏洞概述 本文讲的是 施耐德电气重要信息安全通知--M340以太网模块Web服务漏洞,在登录M340web页面时,输入90-100个字符的随机密码可导致M340以太网模块拒绝服务.通讯中断. 受影响用户 使用M340web页面或未关闭web服务,并未经防火墙或其他隔离保护将M340接入其他网络或公共网络的用户. 凡采用施耐德电气整体解决方案的用户,以及由施耐德电气实施的项目,以太网模块与非生产网络之间已经部署了保护或隔离措施. 受影响产品 BMXNOC0401 (版本早于 v2.09)BMXNO

被忽视的Web安全漏洞:如何识别和解决?

在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施. 在各种类型和规模的企业中,有些网络安全人员(包括CIO和其他高管)称他们会定期扫描其网站和应用.有些人称他们的应用是正在进行的渗透测试工作的一部分,并感觉这可确保安全性.还有些人认为管理web安全漏洞不是他们的职责,因为网站和应用托管在云端. 我理解前两种做法,但第三种则不可原谅.企业需要专注于安全工作,特别是安全评估,对web环境的评估可确保安全性,而无论它们托管在哪里. 这个问题是可以解决的.首先

十大Web网站漏洞扫描程序工具

网络发展至今,他的高端我们都见识过,但是网络安全也是一直以来不变的话题,怎样能使网络更加安全呢?如何构建一个安全的Web环境,是应该考虑的事情.该选择哪些安全工具呢?我们可以再危险发生之前,先测试一下自己系统中的漏洞.为大家推荐10大Web漏洞扫描程序. 1. Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目进行全面的测试.其扫描项目和插件经常更新并且可以自动更新.Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显.不过,如果你想试验一下

Apache Spark源码走读(十)ShuffleMapTask计算结果的保存与读取 &amp;WEB UI和Metrics初始化及数据更新过程分析

<一>ShuffleMapTask计算结果的保存与读取 概要 ShuffleMapTask的计算结果保存在哪,随后Stage中的task又是如何知道从哪里去读取的呢,这个过程一直让我困惑不已. 用比较通俗一点的说法来解释一下Shuffle数据的写入和读取过程 每一个task负责处理一个特定的data partition task在初始化的时候就已经明确处理结果可能会产生多少个不同的data partition 利用partitioner函数,task将处理结果存入到不同的partition,这

《Web应用漏洞侦测与防御:揭秘鲜为人知的攻击手段和防御技术》——1.3 Websocket

1.3 Websocket 构建处理快速变化的内容(比如状态更新和聊天消息)的Web应用程序要面临一个障碍即:HTTP的请求/响应模型.对这种类型的网站可以进行不断优化,但最终会达到某个极限,因为浏览器必须不断轮询服务器以便进行更新.换句话说,浏览器会不断发起请求,无论是GET.POST还是其他方法.WebSocket通过提供双向的通信通道来解决这个HTTP设计限制问题,这也称作全双工通信通道.WebSockets URL连接使用ws://或wss://方案,后者用于SSL/TLS连接. 一旦浏

Memcache防止被非法读取数据安全配置

memcache服务器端都是直接通过客户端连接后直接操作,没有任何的验证过程,这样如果服务器是直接暴露在互联网上的话是比较危险,轻则数据泄露被其他无关人员查看,重则服务器被入侵,因为Mecache是以root权限运行的,况且里面可能存在一些我们未知的bug或者是缓冲区溢出的情况,这些都是我们未知的,所以危险性是可以预见的.为了安全起见,我做两点建议,能够稍微的防止黑客的入侵或者数据的泄露. 1.内网访问或者本地访问: 最好把两台服务器之间的访问是内网形态的,一般是Web服务器跟Memcache服

asp.net2.0中读取web.config数据库连接字符串2种方法

asp.net|web|数据|数据库|数据库连接|字符串 方法一: string myConn = System.Configuration.ConfigurationManager.ConnectionStrings["sqlConnectionString"].ConnectionString; 方法二: string connString = System.Web.Configuration.WebConfigurationManager.ConnectionStrings[&q