|
发信人: likaiwpf() 整理人: likaiwpf(2001-08-04 15:38:37), 站内信件 |
| IBM WebSphere 源码泄露缺陷
受影响的系统: IBM Websphere Application Server 3.0.21 - Sun Solaris 8.0 - Microsoft Windows NT 4.0 - Linux kernel 2.3.x - IBM AIX 4.3 描述: 该版本的IBM WebSphere application server存在缺陷,允许恶意用户查看位于WWW DOC根目录下的任意文档。一般而言,不同的servlet用于解析不同类型的内容,比如 JHTML、HTML、JSP等等。但这个缺陷使得有可能调用缺省servlet,而缺省servlet并 不解析内容,而是直接显示文档原始内容。 <* 来源:Shreeraj Shah [email protected] Saumil Shah [email protected] *> 测试程序: 警 告 以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负! 比如本意是访问: http://www.victim.com/login.jsp 现在换成如下URL: http://www.victim.com/servlet/file/login.jsp ~~~~~~~~~~~~~~ 导致login.jsp的原始内容被显示到客户方的浏览器上 建议: 从webapplication中删除InvokerServlet IBM发布了如下补丁: IBM Websphere Application Server 3.0.21: IBM APAR PQ39857 http://www-4.ibm.com/software/webservers/appserv/efix.html ---- ^_^ 谢谢别忘了在“将本文章寄一份给原作者”处打勾^_^ 
鼠标加水泥,成功概率有多大? Ebusiness(电子商务) |
|
[关闭][返回] |