上一篇：破解新的网吧记费管理系统punwin >>

JSP漏洞大观

综述：服务器漏洞是安全问题的起源，黑客对网站的攻击也大多是从查找对方的漏洞开始的。所以只有了解自身的漏洞，网站管理人员才能采取相应的对策，阻止外来的攻击。下面介绍一下一些服务器（包括web服务器和jsp服务器）的常见漏洞。

　　apache泄露重写的任意文件漏洞是怎么回事？

　　在apache1.2以及以后的版本中存在一个mod_rewrite模块，它用来指定特殊urls在网络服务器文件系统上所映射的绝对路径。如果传送一个包含正确表达参数的重写规则，攻击者就可以查看目标主机上的任意文件。

　　下面举例说明重写规则指令（其中第一行只有是包含漏洞的）：

　　rewriterule /test/(.*) /usr/local/data/test-stuff/$1
　　rewriterule /more-icons/(.*) /icons/$1
　　rewriterule /go/(.*) http://www.apacheweek.com/$1

　　受影响的系统：

　　1）apache 1.3.12
　　2）apache 1.3.11win32
　　3）apache 1.2.x

　　不受影响系统：apache 1.3.13

　　怎样解决在http请求中添加特殊字符导致暴露jsp源代码文件？
　　unify ewave servletexec 是一个 java/java servlet 引擎插件，主要用于 web 服务器，例如：microsoft iis, apache, netscape enterprise 服务器等等。
　　当一个 http 请求中添加下列字符之一，servletexec 将返回 jsp 源代码文件。

.

　　%2e
　　+
　　%2b
　　\
　　%5c
　　%20
　　%00

返回顶部

下一篇：安全小知识:Rundll.exe是病毒吗? >>