151-3895-5886

Apusic Application Server1.0中jsp源代码泄漏漏洞

2019年09月19日 维尼网络
软件介绍:
Apusic Application Server1.0是Apusic企业开发出的中国第一个完整支持J2EE(Java 2 Platform, Enterprise Edition)的产品。Apusic采用纯Java语言编写,支持EJB1.1,Servlet,JSP,JMS等,支持多种平台。

漏洞描述:
Jsp爱好者网站()在试用apusic server1.0产品中发现了一个可以泄漏jsp源代码的漏洞。

适用平台:
Windows Nt/2000 + Apusic Application Server1.0

详细描述:
在访问JSP页面时,如果在请求网址的.jsp后缀后面加上一或多个.,会泄露JSP源代码。
:8080/index.jsp 服务器会正常解释。
:8080/index.jsp. 只要在后面加上一个.就会导致源代码泄漏(可以通过浏览器的查看源代码看到)。

原因:
由于Windows在处理文件名时,将"index.jsp"和"index.jsp."认为是同一个文件。

解决办法:
我们已经联系了apusic企业,apusic企业现已更正这一漏洞,将很快发布补丁程序。
请随时留意apusic企业主页发布的补丁程序信息。

后记:
我们对apusic服务器1.0版本进行了其它测试,发现目前APUSIC不存在其他多个应用服务器中发现的漏洞,如jsp后缀大小写,url插入/file/漏洞,以及%2E、%81等等漏洞,可能是由于apusic服务器软件发布比较晚的原因,所以非常注意了国外其他jsp服务器软件的漏洞问题。


阅读更多内容
上一篇jsp文件操作之读取篇
下一篇jdbc3中的RowSet 接口规范

声明:本页内容由郑州维尼网络收集编辑所得,所有资料仅供用户参考,转载请保留此链接http://www.zzwn.cn/cms/3596.html

本文标签: Application Apusic Server1.0

 

相关资讯 Related Info
相关分类 News Classification
解决方案 Solutions
相关热点 Hot spot
接触 solaris : 整和 apache 和 tomcat 接触 solaris : 整和 apache 和 tomcat
  1. 我们的承诺
  2. 我们的实力
  3. 我们的未来
郑州做网站咨询电话 建站咨询

151-3895-5886

网站备案安全放心网站

地址:郑州市上街区和昌都汇广场 / 电话:151-3895-5886
客服QQ: 7758021 / 邮箱:admin@zzwn.cn
Copyright © 2010-2019 郑州融科网络 版权所有