JSP多种web应用服务器导致JSP源码泄漏漏洞_MySQL
JSP多种web应用服务器导致JSP源码泄漏漏洞
作者:中联绿盟 汉化:不详 整理:JSPER
受影响的系统:
BEA Systems Weblogic 4.5.1
- Microsoft Windows NT 4.0
BEA Systems Weblogic 4.0.4
- Microsoft Windows NT 4.0
BEA Systems Weblogic 3.1.8
- Microsoft Windows NT 4.0
IBM Websphere Application Server 3.0.21
- Sun Solaris 8.0
- Microsoft Windows NT 4.0
- Linux kernel 2.3.x
- IBM AIX 4.3
Unify eWave ServletExec 3.0
- Sun Solaris 8.0
- Microsoft Windows 98
- Microsoft Windows NT 4.0
- Microsoft Windows NT 2000
- Linux kernel 2.3.x
- IBM AIX 4.3.2
- HP HP-UX 11.4
描述:
--------------------------------------------------------------------------------
很多webserver对大小写是敏感的,但对后缀的大小写映射并没有做正确的处理。只要在URL中将JSP或者JHTML文件后缀从小写变成大写,Web服务器就不能正确处理这个文件后缀,而将其做为纯文本显示,攻击者可能得到这些程序的源代码。
--------------------------------------------------------------------------------
建议:
Unify eWave ServletExec:
Unify说缺省安装的Servlet不会泄漏源代码
BEA Systems Weblogic:
临时解决办法:
对所有的可能的大小写后缀增加handler处理:
.jsp 文件:
.jsp .Jsp .jSp .jsP .JSp .jSP .JsP .JSP
.jhtml 文件:
.jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml
.JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML
.JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL
.jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML
厂商已经提供一个针对3.1.8版本的补丁,可以在下列地址下载:
ftp://ftpna.beasys.com/pub/releases/318/caseSensitiveNTFix318.zip
IBM WebSphere Application Server:
IBM已经提供了相应的补丁程序,地址在:
http://www-4.ibm.com/software/webservers/appserv/efix.html
更新日期:2000-07-12 摘自:绿色兵团
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
AI Hentai Generator
Générez AI Hentai gratuitement.
Article chaud
Outils chauds
Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Comment résoudre le problème de l'interface tiers renvoyant 403 dans l'environnement Node.js?
Mar 31, 2025 pm 11:27 PM
Résolvez le problème de l'interface tiers renvoyant 403 dans l'environnement Node.js. Lorsque nous utilisons Node.js pour appeler des interfaces tierces, nous rencontrons parfois une erreur de 403 à partir de l'interface renvoyant 403 ...
Comment télécharger OKX Trading Platform
Mar 26, 2025 pm 05:18 PM
La plate-forme de trading OKX peut être téléchargée via des appareils mobiles (Android et iOS) et des ordinateurs (Windows et MacOS). 1. Les utilisateurs d'Android peuvent le télécharger à partir du site officiel ou de Google Play, et ils doivent faire attention aux paramètres de sécurité. 2. Les utilisateurs iOS peuvent le télécharger via l'App Store ou suivre l'annonce officielle pour obtenir d'autres méthodes. 3. Les utilisateurs d'ordinateurs peuvent télécharger le client du système correspondant à partir du site officiel. Assurez-vous toujours d'utiliser les canaux officiels lors du téléchargement et inscrivez-vous, connectez-vous à des paramètres de sécurité après l'installation.
Que dois-je faire si Beyond Compare échoue à la sensibilité à la synchronisation des Windows et des fichiers Linux?
Apr 01, 2025 am 08:06 AM
Le problème de la comparaison et de la synchronisation des fichiers au-delà de la compare: défaillance de la sensibilité à la casse lors de l'utilisation de Beyond ...
Comment éviter les interfaces tierces renvoyant 403 erreurs dans l'environnement nœud?
Apr 01, 2025 pm 02:03 PM
Comment éviter l'interface tiers renvoyant 403 erreur dans l'environnement de nœud. Lorsque vous appelez l'interface de site Web tiers à l'aide de Node.js, vous rencontrez parfois le problème de la retournement de l'erreur 403. � ...
Pourquoi mon code ne peut-il pas faire renvoyer les données par l'API? Comment résoudre ce problème?
Apr 01, 2025 pm 08:09 PM
Pourquoi mon code ne peut-il pas faire renvoyer les données par l'API? En programmation, nous rencontrons souvent le problème du retour des valeurs nulles lorsque l'API appelle, ce qui n'est pas seulement déroutant ...
Comment surveiller les performances du système via les journaux debian
Apr 02, 2025 am 08:00 AM
La maîtrise de la surveillance du journal du système Debian est la clé d'un fonctionnement et d'une maintenance efficaces. Il peut vous aider à comprendre les conditions de fonctionnement du système en temps opportun, à localiser rapidement les défauts et à optimiser les performances du système. Cet article présentera plusieurs méthodes et outils de surveillance couramment utilisés. Surveillance des ressources système avec la boîte à outils Sysstat La boîte à outils Sysstat fournit une série d'outils de ligne de commande puissants pour collecter, analyser et signaler diverses mesures de ressources système, y compris la charge du processeur, l'utilisation de la mémoire, les E / S de disque, le débit de réseau, etc. MPSTAT: Statistiques des processeurs multi-fond. pidsta
Quatre façons d'implémenter le multithreading dans le langage C
Apr 03, 2025 pm 03:00 PM
Le multithreading dans la langue peut considérablement améliorer l'efficacité du programme. Il existe quatre façons principales d'implémenter le multithreading dans le langage C: créer des processus indépendants: créer plusieurs processus en cours d'exécution indépendante, chaque processus a son propre espace mémoire. Pseudo-Multithreading: Créez plusieurs flux d'exécution dans un processus qui partagent le même espace mémoire et exécutent alternativement. Bibliothèque multi-thread: Utilisez des bibliothèques multi-threades telles que PTHEADS pour créer et gérer des threads, en fournissant des fonctions de fonctionnement de thread riches. Coroutine: une implémentation multi-thread légère qui divise les tâches en petites sous-tâches et les exécute tour à tour.
Comment lire efficacement les journaux du système Windows et obtenir uniquement des informations des derniers jours?
Apr 01, 2025 pm 11:21 PM
Lecture efficace des journaux du système Windows: Traversé réversement des fichiers EVTX Lors de l'utilisation de Python pour traiter les fichiers journaux système Windows (.EVTX), la lecture directe sera du premier ...
