JSP多种web应用服务器导致JSP源码泄漏漏洞_MySQL
JSP多种web应用服务器导致JSP源码泄漏漏洞
作者:中联绿盟 汉化:不详 整理:JSPER
受影响的系统:
BEA Systems Weblogic 4.5.1
- Microsoft Windows NT 4.0
BEA Systems Weblogic 4.0.4
- Microsoft Windows NT 4.0
BEA Systems Weblogic 3.1.8
- Microsoft Windows NT 4.0
IBM Websphere Application Server 3.0.21
- Sun Solaris 8.0
- Microsoft Windows NT 4.0
- Linux kernel 2.3.x
- IBM AIX 4.3
Unify eWave ServletExec 3.0
- Sun Solaris 8.0
- Microsoft Windows 98
- Microsoft Windows NT 4.0
- Microsoft Windows NT 2000
- Linux kernel 2.3.x
- IBM AIX 4.3.2
- HP HP-UX 11.4
描述:
--------------------------------------------------------------------------------
很多webserver对大小写是敏感的,但对后缀的大小写映射并没有做正确的处理。只要在URL中将JSP或者JHTML文件后缀从小写变成大写,Web服务器就不能正确处理这个文件后缀,而将其做为纯文本显示,攻击者可能得到这些程序的源代码。
--------------------------------------------------------------------------------
建议:
Unify eWave ServletExec:
Unify说缺省安装的Servlet不会泄漏源代码
BEA Systems Weblogic:
临时解决办法:
对所有的可能的大小写后缀增加handler处理:
.jsp 文件:
.jsp .Jsp .jSp .jsP .JSp .jSP .JsP .JSP
.jhtml 文件:
.jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml
.JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML
.JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL
.jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML
厂商已经提供一个针对3.1.8版本的补丁,可以在下列地址下载:
ftp://ftpna.beasys.com/pub/releases/318/caseSensitiveNTFix318.zip
IBM WebSphere Application Server:
IBM已经提供了相应的补丁程序,地址在:
http://www-4.ibm.com/software/webservers/appserv/efix.html
更新日期:2000-07-12 摘自:绿色兵团
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
AI Hentai Generator
Menjana ai hentai secara percuma.
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
1371
52
Bagaimana untuk menyelesaikan masalah antara muka pihak ketiga yang kembali 403 dalam persekitaran Node.js?
Mar 31, 2025 pm 11:27 PM
Selesaikan masalah antara muka pihak ketiga yang kembali 403 dalam persekitaran Node.js. Apabila kita menggunakan Node.js untuk memanggil antara muka pihak ketiga, kita kadang-kadang menghadapi kesilapan 403 dari antara muka yang kembali 403 ...
Cara Muat turun Platform Perdagangan Okx
Mar 26, 2025 pm 05:18 PM
Platform perdagangan OKX boleh dimuat turun melalui peranti mudah alih (Android dan iOS) dan komputer (Windows dan MacOS). 1. Pengguna Android boleh memuat turunnya dari laman web rasmi atau Google Play, dan mereka perlu memberi perhatian kepada tetapan keselamatan. 2. Pengguna iOS boleh memuat turunnya melalui App Store atau ikuti pengumuman rasmi untuk mendapatkan kaedah lain. 3. Pengguna komputer boleh memuat turun pelanggan sistem yang sepadan dari laman web rasmi. Sentiasa pastikan untuk menggunakan saluran rasmi semasa memuat turun, dan mendaftar, log masuk dan tetapan keselamatan selepas pemasangan.
Bagaimana untuk mengelakkan antara muka pihak ketiga yang mengembalikan 403 kesilapan dalam persekitaran nod?
Apr 01, 2025 pm 02:03 PM
Bagaimana untuk mengelakkan antara muka pihak ketiga yang mengembalikan ralat 403 dalam persekitaran nod. Apabila memanggil antara muka laman web pihak ketiga menggunakan Node.js, anda kadang-kadang menghadapi masalah mengembalikan 403 ralat. � ...
Apa yang perlu saya lakukan jika di luar membandingkan gagal sensitiviti kes apabila menyegerakkan fail Windows dan Linux?
Apr 01, 2025 am 08:06 AM
Masalah membandingkan dan menyegerakkan fail di luar: kegagalan sensitiviti kes apabila menggunakan di luar ...
Mengapa kod saya tidak dapat mendapatkan data yang dikembalikan oleh API? Bagaimana menyelesaikan masalah ini?
Apr 01, 2025 pm 08:09 PM
Mengapa kod saya tidak dapat mendapatkan data yang dikembalikan oleh API? Dalam pengaturcaraan, kita sering menghadapi masalah mengembalikan nilai null apabila panggilan API, yang bukan sahaja mengelirukan ...
Cara Memantau Prestasi Sistem Melalui Log Debian
Apr 02, 2025 am 08:00 AM
Menguasai pemantauan log sistem Debian adalah kunci kepada operasi dan penyelenggaraan yang cekap. Ia dapat membantu anda memahami keadaan operasi sistem tepat pada masanya, dengan cepat mencari kesalahan, dan mengoptimumkan prestasi sistem. Artikel ini akan memperkenalkan beberapa kaedah dan alat pemantauan yang biasa digunakan. Sumber Sistem Pemantauan Dengan Toolkit Sysstat Toolkit Sysstat menyediakan satu siri alat baris arahan yang kuat untuk mengumpul, menganalisis dan melaporkan pelbagai metrik sumber sistem, termasuk beban CPU, penggunaan memori, cakera I/O, rangkaian, dan lain -lain. MPSTAT: Statistik CPU multi-teras. Pidsta
Empat cara untuk melaksanakan multithreading dalam bahasa c
Apr 03, 2025 pm 03:00 PM
Multithreading dalam bahasa dapat meningkatkan kecekapan program. Terdapat empat cara utama untuk melaksanakan multithreading dalam bahasa C: Buat proses bebas: Buat pelbagai proses berjalan secara bebas, setiap proses mempunyai ruang ingatan sendiri. Pseudo-Multithreading: Buat pelbagai aliran pelaksanaan dalam proses yang berkongsi ruang memori yang sama dan laksanakan secara bergantian. Perpustakaan multi-threaded: Gunakan perpustakaan berbilang threaded seperti PTHREADS untuk membuat dan mengurus benang, menyediakan fungsi operasi benang yang kaya. Coroutine: Pelaksanaan pelbagai threaded ringan yang membahagikan tugas menjadi subtask kecil dan melaksanakannya pada gilirannya.
Bagaimana cara membaca log sistem Windows dengan cekap dan hanya mendapatkan maklumat dari beberapa hari kebelakangan?
Apr 01, 2025 pm 11:21 PM
Pembacaan Log Sistem Windows yang cekap: Fail EVTX yang membalikkan apabila menggunakan Python untuk memproses fail log sistem Windows (.evtx), bacaan langsung akan dari ...
