Apusic Application Server1.0中jsp源代码泄漏漏洞

单车踏过落叶

单车踏过落叶

2016-01-29 12:47

Apusic Application Server1.0中jsp源代码泄漏漏洞,Apusic Application Server1.0中jsp源代码泄漏漏洞
软件介绍:
Apusic Application Server1.0是Apusic公司开发出的中国第一个完整支持J2EE(Java 2 Platform, Enterprise Edition)的产品。Apusic采用纯Java语言编写,支持EJB1.1,Servlet,JSP,JMS等,支持多种平台。

漏洞描述:
Jsp爱好者网站(http://jspbbs.yeah.net)在试用apusic server1.0产品中发现了一个可以泄漏jsp源代码的漏洞。

适用平台:
Windows Nt/2000 + Apusic Application Server1.0

详细描述:
在访问JSP页面时,如果在请求URL的.jsp后缀后面加上一或多个'.',会泄露JSP源代码。
http://localhost:8080/index.jsp 服务器会正常解释。
http://localhost:8080/index.jsp. 只要在后面加上一个.就会导致源代码泄漏(可以通过浏览器的查看源代码看到)。

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/java/)

原因:
由于Windows在处理文件名时,将"index.jsp"和"index.jsp."认为是同一个文件。

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/java/)

解决方法:
我们已经联系了apusic公司,apusic公司现已更正这一漏洞,将很快发布补丁程序。
请随时留意apusic公司主页http://www.apusic.com发布的补丁程序信息。

后记:
我们对apusic服务器1.0版本进行了其它测试,发现目前APUSIC不存在其他多个应用服务器中发现的漏洞,如jsp后缀大小写,url插入/file/漏洞,以及%2E、%81等等漏洞,可能是由于apusic服务器软件发布比较晚的原因,所以特别注意了国外其他jsp服务器软件的漏洞问题。

展开更多 50%)
分享

猜你喜欢

Apusic Application Server1.0中jsp源代码泄漏漏洞

Java JAVA基础
Apusic Application Server1.0中jsp源代码泄漏漏洞

IBM WebSphere Application Server 3.0.2 存在暴露源代码漏洞

Java JAVA基础
IBM WebSphere Application Server 3.0.2 存在暴露源代码漏洞

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

Unify eWave ServletExec 泄露jsp源代码漏洞

Web开发
Unify eWave ServletExec 泄露jsp源代码漏洞

多中WEB服务器的通用JSp源代码暴露漏洞

Java JAVA基础
多中WEB服务器的通用JSp源代码暴露漏洞

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

IBM WebSphere源代码暴露漏洞

Web开发
IBM WebSphere源代码暴露漏洞

BEA WebLogic 暴露源代码漏洞

Java JAVA基础
BEA WebLogic 暴露源代码漏洞

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

Flash本地加密

Flash本地加密

用Flash MX制作新年贺卡

用Flash MX制作新年贺卡
下拉加载更多内容 ↓