当前位置: 首页 > 图文教程 > 网络编程 > JSP > Apusic Application Server1.0中jsp源代码泄漏漏洞

JSP
jsp计数器制作
用jsp编写文件上载
基于JSP的动态网站开发技术
JSP由浅入深(3)—— 通过表达式增加动态内容
JSP由浅入深(5)—— Scriptlets和HTML的混合
JSP由浅入深(1)—— 熟悉JSP服务器
JSP由浅入深(12)—— 表单编辑
JSP由浅入深(11)—— 标记库
JSP由浅入深(10)—— Beans and Forms处理
JSP由浅入深(9)—— JSP Sessions
JSP由浅入深(8)—— JSP Tags
JSP由浅入深(6)—— JSP声明
JSP由浅入深(4)—— Scriptlets
JSP由浅入深(2)—— 第一个JSP
JSP由浅入深(7)—— JSP Directives
JSP中的字符替换函数 str_replace() 实现!
把一张图片变形扭曲成各种不同的长宽
用JSP编写通用信息发布程序
Java Servlet及Cookie的使用
Apache+Servlet+Jsp环境设置(上)

JSP 中的 Apusic Application Server1.0中jsp源代码泄漏漏洞


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 87 ::
收藏到网摘: n/a

软件介绍:
Apusic Application Server1.0是Apusic公司开发出的中国第一个完整支持J2EE(Java 2 Platform, Enterprise Edition)的产品。Apusic采用纯Java语言编写,支持EJB1.1,Servlet,JSP,JMS等,支持多种平台。

漏洞描述:
Jsp爱好者网站(http://jspbbs.yeah.net)在试用apusic server1.0产品中发现了一个可以泄漏jsp源代码的漏洞。

适用平台:
Windows Nt/2000 + Apusic Application Server1.0

详细描述:
在访问JSP页面时,如果在请求URL的.jsp后缀后面加上一或多个'.',会泄露JSP源代码。
http://localhost:8080/index.jsp 服务器会正常解释。
http://localhost:8080/index.jsp. 只要在后面加上一个.就会导致源代码泄漏(可以通过浏览器的查看源代码看到)。

原因:
由于Windows在处理文件名时,将"index.jsp"和"index.jsp."认为是同一个文件。

解决方法:
我们已经联系了apusic公司,apusic公司现已更正这一漏洞,将很快发布补丁程序。
请随时留意apusic公司主页http://www.apusic.com发布的补丁程序信息。

后记:
我们对apusic服务器1.0版本进行了其它测试,发现目前APUSIC不存在其他多个应用服务器中发现的漏洞,如jsp后缀大小写,url插入/file/漏洞,以及%2E、%81等等漏洞,可能是由于apusic服务器软件发布比较晚的原因,所以特别注意了国外其他jsp服务器软件的漏洞问题。