Resin view_source.jsp任意文件可读漏洞发布时间:2002-06-19 更新时间:2002-06-19 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Resin 2.1.2 standalone on Windows 2000 Server详细描述 默认安装的Resin服务程序,会安装样本文件夹,其中包含一jsp脚本可以以WEB权限查看服务器上任意文件内容。 view_source.jsp没有很好的检查用户输入,提交'../'字符可以绕过文件夹目录限制而查看WEB上任意文件内容。 测试代码 见描述 解决方案 无 相关信息 Peter Gründl (pgrundl@kpmg.dk) 参考:http://archives.neohapsis.com/archives/bugtraq/2002-06/0168.html |
