脚本宝典收集整理的这篇文章主要介绍了JSP多种web应用服务器导致JSP源码泄漏漏洞,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
JSP多种web应用
服务器导致JSP
源码泄漏漏洞
作者:中联绿盟 汉化:不详 整理:JS
PER
受影响的系统:
BEA
Systems We
blogic 4.5.1
- Microsoft Windows NT 4.0
BEA Systems Web
LOGic 4.0.4
- Microsoft Windows NT 4.0
BEA Systems Weblogic 3.1.8
- Microsoft Windows NT 4.0
IBM Websphere Application Server 3.0.21
- Sun
solaris 8.0
- Microsoft Windows NT 4.0
- Linux kernel 2.
3.x - IBM
aiX 4.3
Unify eWave ServletExec 3.0
- Sun Solaris 8.0
- Microsoft Windows 98
- Microsoft Windows NT 4.0
- Microsoft Windows NT 2000
- Linux kernel 2.3.x
- IBM AIX 4.3.2
- HP HP-UX 11.4
描述:
--------------------------------------------------------------------------------
很多webserver对大小写是敏感的,但对后缀的大小写映射并没有做正确的处理。只要在URL中将JSP
或者JHT
ML文件后缀从小写变成大写,Web服务器就不能正确处理这个文件后缀,而将其做为
纯文本显示,攻击者可能得到这些程序的源代码。
<* 来源: stuart.mcclure@FOUNDSTONE
.COM *>
--------------------------------------------------------------------------------
建议:
Unify eWave ServletExec:
Unify说缺省安装的Servlet不会泄漏源代码
BEA Systems Weblogic:
临时解决办法:
对所有的可能的大小写后缀增加handler处理:
.jsp 文件:
.jsp .Jsp .jSp .jsP .JSp .jSP .JsP .JSP
.jhtml 文件:
.jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml
.JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML
.JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL
.jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML
厂商已经提供一个针对3.1.8版本的
补丁,可以在下列地址下载:
ftp://ftpna.beasys.com/p
ub/releases/318/caseSens
ITiveNTFix318.zip
IBM WebSphere Application Server:
IBM已经提供了相应的补丁程序,地址在:
http://www-4.ibm.com/
Software/webservers/appserv/efix.html
更新日期:2000-07-12&nbs
p; 摘自:绿色兵团
脚本宝典总结
以上是脚本宝典为你收集整理的JSP多种web应用服务器导致JSP源码泄漏漏洞全部内容,希望文章能够帮你解决JSP多种web应用服务器导致JSP源码泄漏漏洞所遇到的问题。
如果觉得脚本宝典网站内容还不错,欢迎将脚本宝典推荐好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。