当前位置: 首页 > 图文教程 > 网络编程 > JSP > JSP多种web应用服务器导致JSP源码泄漏漏洞

JSP
Hibernate 的原理与配置
Java中关于XML的API
Eclipse插件开发之新手入门
为什么要学习Hibernate?
Java2下Applet数字签名
Weblogic上配置Hibernate为JNDI
JavaBean(EJB) 3.0 全新体验
品味Spring 的魅力
Hibernate的JNDI绑定分析
Java开源项目Hibernate
JDO 2.0查询语言的特点
JBuilderX+SQL Server开发hibernate
运行时实现Java的多态性
Hibernate获得成功的十大理由
Hibernate包作用详解
Java动态代理实现AOP
J2SE1.5 注释语法
Java代码构建一个线程池
JBuilder2005开发Web应用程序
Java数据库编程中的技巧

JSP多种web应用服务器导致JSP源码泄漏漏洞


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-13   浏览: 84 ::
收藏到网摘: n/a

JSP多种web应用服务器导致JSP源码泄漏漏洞
作者:中联绿盟 汉化:不详 整理:JSPER

受影响的系统:
BEA Systems Weblogic 4.5.1
- Microsoft Windows NT 4.0
BEA Systems Weblogic 4.0.4
- Microsoft Windows NT 4.0
BEA Systems Weblogic 3.1.8
- Microsoft Windows NT 4.0
IBM Websphere Application Server 3.0.21
- Sun Solaris 8.0
- Microsoft Windows NT 4.0
- Linux kernel 2.3.x
- IBM AIX 4.3
Unify eWave ServletExec 3.0
- Sun Solaris 8.0
- Microsoft Windows 98
- Microsoft Windows NT 4.0
- Microsoft Windows NT 2000
- Linux kernel 2.3.x
- IBM AIX 4.3.2
- HP HP-UX 11.4
描述:
--------------------------------------------------------------------------------
 
  很多webserver对大小写是敏感的,但对后缀的大小写映射并没有做正确的处理。只要在URL中将JSP或者JHTML文件后缀从小写变成大写,Web服务器就不能正确处理这个文件后缀,而将其做为纯文本显示,攻击者可能得到这些程序的源代码。
<* 来源: [email protected] *>
--------------------------------------------------------------------------------
建议:
Unify eWave ServletExec:
Unify说缺省安装的Servlet不会泄漏源代码
BEA Systems Weblogic:
临时解决办法:
对所有的可能的大小写后缀增加handler处理:
.jsp 文件:
.jsp .Jsp .jSp .jsP .JSp .jSP .JsP .JSP
.jhtml 文件:
.jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml
.JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML
.JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL
.jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML
厂商已经提供一个针对3.1.8版本的补丁,可以在下列地址下载:
ftp://ftpna.beasys.com/pub/releases/318/caseSensitiveNTFix318.zip
IBM WebSphere Application Server:
IBM已经提供了相应的补丁程序,地址在:
http://www-4.ibm.com/software/webservers/appserv/efix.html
更新日期:2000-07-12 摘自:绿色兵团