Java 版 (精华区)

发信人: cameran (偶爱小海豚), 信区: Java
标  题: Resin会泄漏JSP的源代码
发信站: 哈工大紫丁香 (2001年04月19日19:21:14 星期四), 站内信件





 Resin会泄漏JSP的源代码
cnns.net
文字:               背景:               字号:  9 pt 10 pt 12 pt 14 px 13 pt
Resin 是一个 servlet 和 JSP 引擎，它提供支持 Java 和 Javascript 功能。
当一个HTTP请求带有某些特定字符时，Resin ServletExec会泄漏JSP的源代码。依赖于
Resin运行环境的不同，在不同的web服务器上，特定字符可能是不同的。
1. 在Apache 1.3.6 for Win32下，如果在JSP文件名后添加下列字符串，Resin
ServletExec会泄漏JSP的源代码:
".."
"%2e.."
"%81" --> "%fe"
例如：
http://benjurry/benjurry.jsp..
http://benjurry/benjurry.jsp%81
2. 在IIS 或 PWS下，如果将URL以编码形式提交的话，Resin ServletExec会泄
漏JSP的源代码，例如：
http://benjurry/benjurry%2ejsp
3. Resin也提供了一个自己的standalone web server.当在这个Web Server下运
行时，如果在JSP文件名后添加"../"，Resin ServletExec会泄漏JSP的源代码:
http://benjurry/benjurry.jsp../
解决方案：
Resin 已经在1.2版本中解决了此问题，请下载并安装：
http://www.caucho.com/download/index.xtp


--
欲讯秋情众莫知, 喃喃负手叩东篱。
孤标傲世偕谁隐，一样花开为底迟？
圃露庭霜何寂寞，鸿归蛩病可相思？
休言举世无谈者，解语何妨片语时。

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.239.175]