科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道JSP多种web应用服务器导致JSP源码泄漏漏洞

JSP多种web应用服务器导致JSP源码泄漏漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

只要在URL中将JSP或者JHTML文件后缀从小写变成大写,Web服务器就不能正确处理这个文件后缀,而将其做为纯文本显示,攻击者可能得到这些程序的源代码。

作者:绿色兵团 来源:绿色兵团 2008年6月25日

关键字: 网吧 网吧组网 网吧服务器架设

  • 评论
  • 分享微博
  • 分享邮件

  受影响的系统:

  BEA Systems Weblogic 4.5.1

  - Microsoft Windows NT 4.0

  BEA Systems Weblogic 4.0.4

  - Microsoft Windows NT 4.0

  BEA Systems Weblogic 3.1.8

  - Microsoft Windows NT 4.0

  IBM Websphere Application Server 3.0.21

  - Sun Solaris 8.0

  - Microsoft Windows NT 4.0

  - Linux kernel 2.3.x

  - IBM AIX 4.3

  Unify eWave ServletExec 3.0

  - Sun Solaris 8.0

  - Microsoft Windows 98

  - Microsoft Windows NT 4.0

  - Microsoft Windows NT 2000

  - Linux kernel 2.3.x

  - IBM AIX 4.3.2

  - HP HP-UX 11.4

  描述:

  --------------------------------------------------------------------------------

  很多webserver对大小写是敏感的,但对后缀的大小写映射并没有做正确的处理。只要在URL中将JSP或者JHTML文件后缀从小写变成大写,Web服务器就不能正确处理这个文件后缀,而将其做为纯文本显示,攻击者可能得到这些程序的源代码。

  --------------------------------------------------------------------------------

  建议:

  Unify eWave ServletExec:

  Unify说缺省安装的Servlet不会泄漏源代码

  BEA Systems Weblogic:

  临时解决办法:

  对所有的可能的大小写后缀增加handler处理:

  .jsp 文件:

  .jsp .Jsp .jSp .jsP .JSp .jSP .JsP .JSP

  .jhtml 文件:

  .jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml

  .JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML

  .JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL

  .jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML

  厂商已经提供一个针对3.1.8版本的补丁,可以在下列地址下载:

  ftp://ftpna.beasys.com/pub/releases/318/caseSensitiveNTFix318.zip

  IBM WebSphere Application Server:

  IBM已经提供了相应的补丁程序,地址在:

  http://www-4.ibm.com/software/webservers/appserv/efix.html

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章