当前位置: 首页 > 图文教程 > 网络编程 > JSP > JSP多种web应用服务器导致JSP源码泄漏漏洞

JSP
java设计模式之Memento
java设计模式之Facade(外观)
JSP如何与EJB SessionBean通讯
通用上载组件的原理及实现
最佳实践:有状态会话 bean运行结束时应及时被显式删除
jsp预编译工具
利用javabean轻松实现对数据库的连接、查询以及增删改--使用范例
利用javabean轻松实现对数据库的连接、查询以及增删改
Redhat下安装Tomcat
用VisualAge for Java开发企业级bean
WebLogic初步研究
一个实现排列和组合的JavaBean
汉字问题深入谈-- 关于JAVA的中文问题
什么是 Enterprise JavaBeans 组件?(三)
Java的内存泄漏
JSP中SQL数据库编程技术
JSP中的字符替换函数 str_replace()实现
JSP开发工具的选择
Jsp分页实例代码
JSP标签快速检索

JSP多种web应用服务器导致JSP源码泄漏漏洞


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-13   浏览: 61 ::
收藏到网摘: n/a

JSP多种web应用服务器导致JSP源码泄漏漏洞
作者:中联绿盟 汉化:不详 整理:JSPER

受影响的系统:
BEA Systems Weblogic 4.5.1
- Microsoft Windows NT 4.0
BEA Systems Weblogic 4.0.4
- Microsoft Windows NT 4.0
BEA Systems Weblogic 3.1.8
- Microsoft Windows NT 4.0
IBM Websphere Application Server 3.0.21
- Sun Solaris 8.0
- Microsoft Windows NT 4.0
- Linux kernel 2.3.x
- IBM AIX 4.3
Unify eWave ServletExec 3.0
- Sun Solaris 8.0
- Microsoft Windows 98
- Microsoft Windows NT 4.0
- Microsoft Windows NT 2000
- Linux kernel 2.3.x
- IBM AIX 4.3.2
- HP HP-UX 11.4
描述:
--------------------------------------------------------------------------------
 
  很多webserver对大小写是敏感的,但对后缀的大小写映射并没有做正确的处理。只要在URL中将JSP或者JHTML文件后缀从小写变成大写,Web服务器就不能正确处理这个文件后缀,而将其做为纯文本显示,攻击者可能得到这些程序的源代码。
<* 来源: [email protected] *>
--------------------------------------------------------------------------------
建议:
Unify eWave ServletExec:
Unify说缺省安装的Servlet不会泄漏源代码
BEA Systems Weblogic:
临时解决办法:
对所有的可能的大小写后缀增加handler处理:
.jsp 文件:
.jsp .Jsp .jSp .jsP .JSp .jSP .JsP .JSP
.jhtml 文件:
.jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml
.JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML
.JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL
.jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML
厂商已经提供一个针对3.1.8版本的补丁,可以在下列地址下载:
ftp://ftpna.beasys.com/pub/releases/318/caseSensitiveNTFix318.zip
IBM WebSphere Application Server:
IBM已经提供了相应的补丁程序,地址在:
http://www-4.ibm.com/software/webservers/appserv/efix.html
更新日期:2000-07-12 摘自:绿色兵团