Blazix特殊字符处理导致脚本信息泄露问题发布时间:2002-08-29 更新时间:2002-08-29 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:客户机模式 BUGTRAQ ID:5566 受影响系统 Desiderata Software Blazix 1.2详细描述 Blazix是由JAVA写成的WEB服务程序。 其中对'+'和'\'处理不正确,在请求的.jsp文件名后追加这两个符号,可导致脚本源代码泄露,可能获得包括密码等的敏感信息。 测试代码 http://www.example.com/jsptest.jsp+ http://www.example.com/jsptest.jsp\ 解决方案 其中1.2.1版本不存在这个问题。 相关信息 Auriemma Luigi <aluigi@pivx.com>. 参考:http://www.blazix.com/ |
