快捷搜索:  as  2018  FtCWSyGV  С˵  test  xxx  Ψһ  w3viyKQx

和记h188怡情_机器人论坛



JSP多种web利用办事器导致JSP源码透露破绽

http://www.netqu.com 中华技巧网会员 wuxuehui 宣布

受影响的系统:

BEA Systems Weblogic 4.5.1

- Microsoft Windows NT 4.0

BEA Systems Weblogic 4.0.4

- Microsoft Windows NT 4.0

BEA Systems Weblogic 3.1.8

- Microsoft Windows NT 4.0

IBM Websphere Application Server 3.0.21

- Sun Solaris 8.0

- Microsoft Windows NT 4.0

- Linux kernel 2.3.x

- IBM AIX 4.3

Unify eWave ServletExec 3.0

- Sun Solaris 8.0

- Microsoft Windows 98

- Microsoft Windows NT 4.0

- Microsoft Windows 和记h188怡情NT 2000

- Linux kernel 2.3.x

- IBM AIX 4.3.2

- HP HP-UX 11.4

描述:

-----------------------------------------------------------------和记h188怡情---------------

很多webserver对大年夜小写是敏感的,但对后缀的大年夜小写映射并没有做精确的处置惩罚。只要在URL中将JSP或者JHTML文件后缀从小写变成大年夜写,Web办事器就不能精确处置惩罚这个文件后缀,而将其做为纯文本显示,进击者可能获得这些法度榜样的源代码。

--------------------------------------------------------------------------------

建议:

Unify eWave ServletExec:

Unify说缺省安装的Servlet不会透露源代码

BEA Systems Weblogic:

临时办理法子:

对所有的可能的大年夜小写后缀增添ha和记h188怡情ndler处置惩罚:

.jsp 文件:

.jsp .Jsp .jSp .jsP .JSp .jS和记h188怡情P .JsP .JSP

.jhtml 文件:

.jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml

.JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML

.JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL

.jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML

厂商已经供给一个针对3.1.8版本的补丁,可以鄙人列地址下载:

ftp://ftpna.beasys.com/pub/releases/318/caseSensitiveNTFix318.zip

IBM WebSphere Ap和记h188怡情plication Server:

IBM已经供给了响应的补丁法度榜样,地址在:

http://www-4.ibm.com/software/webservers/appserv/efix.html

您可能还会对下面的文章感兴趣: