Jsp安全性初探

发表日期：2000-12-11

新浪微博 QQ空间 QQ微博百度搜藏腾讯朋友 QQ收藏百度空间人人网开心网

· Lovehacker·yesky

　　其实我相信还有几种办法可以暴露jsp代码的,不过具我的大量测试,这和WEB SERVER的配置有绝对的关系,就那我自己装的IBM Websphere Commerce Suite而言,还有别的方法看到JSP源代码,但我相信是因为IBM HTTP SERVER的配置造成的.

　　如果你也想和我一样去发现JSP暴露源代码的BUG的话,首先你需要了解JSP的工作原理,值得庆幸的是我已经帮你做了这一切!

　　jsp和其它的php,asp工作机制不一样,虽然它也是一种web编程语言。首次调用JSP文件其实是执行一个编译为Servlet的过程。注意----->我们就要在这上边做文章,明白吗?我们要干的事情是,让JSP在编译前被浏览器当作一个文本或其它文件发送给客户端，或在JSP装载的时候不去执行编译好的Servlet而直接读JSP的内容并发送给客户端。

　　明白了道理及所要达到的目的就好下手了,我仔细的观察了调用及返回过程发现：JSP被编译为了Servlet保存在指定的目录下如:http://www.x.com/lovehacker/index.jsp很可能存放在X:\IBM\WAServer\temp\default_host\default_app\pagecompile\_lov
~~~~
ehacker_index_xjsp.class
~~~~~~~~~~~~~~~~~~~~~~~~
　　已经过编译的index.jsp(顺便说一下,IBM WCS我至少发现了三种以上获得文件存放真实路径的办法,但可笑的是我和IBM的工程师聊到这事的时候他们不以为然)

　　回到正题,也就是说_lovehacker_index_xjsp.class显然是我们不需要的文件,而且我们得到它的可能性也不大,我们要干的是不去执行_lovehacker_index_xjsp.class而是直接读index.jsp的内容.我在我的SERVER上已经完成了这个工作,源代码尽收眼底,你呢？是否也已经想好了办法？那还等什么赶快去实践吧！

　　据我分析最初的xxx.JSP暴露源代码也是因为我前边的这种想法造成的,本来目录中存放了一个_xxx_xjsp.class但访问xxx.JSP本来是个合法的请求,而又找不到对应的Servlet所以就把xxx.JSP当做一个文本或其它文件发送给了用户。

　　也许这是因为IBM HTTP SERVER配置不当造成的，但相信如果你能成功的话，会有一种成就感，很爽的哦！

顺便说一下暴露文件存放真实路径可能会带来的危害:
首先会让入侵者了解磁盘配置情况
聪明的入侵者甚至可以分析出管理员的水平高低
为入侵者修改你的首页提供了方便(起码不用在找你的WEB目录在那个磁盘了)
可能被利用一些其它的CGI的漏洞查看到web目录下的文件如XX.ASP,XX.JSP,XX.PHP等.

关注此文的读者还看过：
·2012-5-23 8:33:22 Tomcat 3.1 存在暴露网站路径问题
·2012-5-23 8:01:40 JSP 2.1和JSF 1.2规范发布预览版本
·2012-5-23 7:30:53 基于JSP的动态网站开发技术
·2012-5-23 7:29:29 IBM WebSphere源代码暴露漏洞
·2012-5-23 6:28:12 Apache泄露重写的任意文件漏洞
·2012-5-23 6:23:08 Tomcat 暴露JSP文件内容
·2012-5-23 6:15:25 Java线程的深入探讨
·2012-5-23 5:32:13 JSP多种web应用服务器导致JSP源码泄漏漏洞
·2012-5-23 5:13:37 我认为JSP有问题(下)

站长推荐 PS笔刷下载在线翻译系统进程广告代码

发表评论
姓　名:	验证码:
内　容:

教程搜索服务

项目外包信息

·全球锁医疗科技有限公司LOGO设计
·多个.NET网站制作和修改
·总计400元长期外包企业官网内页
·淘宝旗舰店装修 5000~10000元
·厦门巨游网络科技有限公司
·影派平板电脑
·寻会php的程序员外包网站
·派桑网络-网络营销专家
·汽车配件网站制作 50000元
·整站SEO优化
·课件门户网程序
·求长期合作网站设计制作高手
·公司网站重新改版 8000元
·asp企业网站小改动
·网站flash片头

发布信息

浏览信息

邮件订阅服务

输入你的邮件地址，你将不会错过任何关于<JSP文摘>的内容

网络编程文章分类

ASP教程
ASP实例
ASP技巧
ASP文摘
PHP教程
PHP技巧
PHP实例
PHP文摘
JSP教程
JSP技巧
JSP实例
JSP文摘
ASP.NET教程
ASP.NET技巧
ASP.NET实例
ASP.NET应用
xml教程
xsl教程
xml技巧
C#教程
C#应用
Delphi教程
Perl教程
Shell教程
Ajax教程
Visual Basic教程
Java教程
J2EE/J2ME教程
C/C++教程
移动解决方案
移动短信技术
移动行业动态
软件工程
WordPress
Android开发