IBM WebSphere源代码暴露漏洞

2016-02-19 15:12 125 1 收藏

生活已是百般艰难,为何不努力一点。下面图老师就给大家分享IBM WebSphere源代码暴露漏洞,希望可以让热爱学习的朋友们体会到设计的小小的乐趣。

【 tulaoshi.com - Web开发 】

bugtraq id 1500
  class Access Validation Error
  cve GENERIC-MAP-NOMATCH
  remote Yes
  local Yes
  published July 24, 2000
  updated July 24, 2000
  vulnerable IBM Websphere Application Server 3.0.21
  - Sun Solaris 8.0
  - Microsoft Windows NT 4.0
  - Linux kernel 2.3.x
  - IBM AIX 4.3
  IBM Websphere Application Server 3.0
  - Sun Solaris 8.0
  - Novell Netware 5.0
  - Microsoft Windows NT 4.0
  - Linux kernel 2.3.x
  - IBM AIX 4.3
  IBM Websphere Application Server 2.0
  - Sun Solaris 8.0
  - Novell Netware 5.0
  - Microsoft Windows NT 4.0
  - Linux kernel 2.3.x
  - IBM AIX 4.3
  
  Certain versions of the IBM WebSphere application server ship with a vulnerability which allows malicious users to view the source of any document which resides in the web document root directory.
  
  This is possible via a flaw which allows a default servlet (different servlets are used to parse different types of content, JHTML, HTMl, JSP, etc.) This default servlet will display the document/page without parsing/compiling it hence allowing the code to be viewed by the end user.
  
  The Foundstone, Inc. advisory which covered this problem detailed the following method of verifying the vulnerability - full text of this advisory is available in the 'Credit' section of this entry:
  
  "It is easy to verify this vulnerability for a given system. Prefixing the path to web pages with "/servlet/file/" in the URL causes the file to be displayed without being
  parsed or compiled. For example if the URL for a file "login.jsp" is:
  
  http://site.running.websphere/login.jsp
  
  then accessing
  
  http://site.running.websphere/servlet/file/login.jsp
  
  would cause the unparsed contents of the file to show up in the web browser."

来源:http://www.tulaoshi.com/n/20160219/1609153.html

延伸阅读
前言 Jive是一个开放的Java源代码项目。其目标是建设一个开放结构的,强壮的,易于扩展的基于jsp的论坛。在其设计目标的指导下,其结构设计得非常得好,融合了很多新的观念,比如Design Pattern,可更换的SKIN,可插入Plug等等。 !-- frame contents --!-- /frame contents -- 具体解读其源代码对于理解这些新的设计上的...
标签: ASP
涉及程序: Microsoft Internet Information Server/Index Server 描述: 震撼安全发现:新的漏洞允许查看web服务器上任何文件包括ASP源码 详细: IIS4.0上有一个应用程序映射htw---webhits.dll,这是用于Index Server的点击功能的。尽管你不运行Index Server,该映 射仍然有效。这个应用程序映射存在漏洞,允许入侵者读取本地硬盘上的文件,数...
标签: Web开发
AJAXSuggest源代码的实例 下面的源代码属于上一节的AJAX实例。 您可以拷贝粘贴这些代码,然后亲自测试一下。 AJAXHTML页面 这是HTML页面。它包含了一个简单的HTML表单,以及一个指向JavaScript的链接。 html head scriptsrc="clienthint.js"/script /head bo...
标签: ASP
  从网上兴致冲冲地下载了ASP源代码,准备学习研究的时候.一打开文件,天书般的加密代码.很让人郁闷吧 :( 在网上是找到了解密的方法,得一个文件挨一个文件地打开,复制,粘贴,解密,再复制,再粘贴,再保存...... 如果一个ASP程序有几百个文件??? 解决办法来了.. decode.asp <% @Language="JavaScript" % <% /*  *-----------...
因为connection对象仅仅跟host对象相关,且处理一个套接字,所以其数据成员仅有:private Host _host; //指向宿主对象 private Socket _socket; //当前套接字我们知道host调用且仅了conn.ProcessOneRequest();方法,所以我们首先要找到此方法(coneetion很多方法,我们先看看主要的): public void ProcessOneRequest() { // wait for at leas...

经验教程

893

收藏

37

精华推荐

清空代码防止查看源代码的js代码

清空代码防止查看源代码的js代码

你好亲亲55

源代码解析——初探 AjaxTags

源代码解析——初探 AjaxTags

冬瓜果果

我的论坛源代码(一)

我的论坛源代码(一)

好想吃掉你啊Xx

微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部