JSP安全性初探 (2) - 推荐教程

JSP安全性初探<1>(2)

原作者:kuku 添加时间:2007-06-02 原文发表:2007-06-02 人气:10 来源：互联网

本文章共4482字，分8页，当前第2页，快速翻页：

-----------------------------------------------------------------------------------------------------------------------------------------------

本文提示：《JSP安全性初探<1>(2)》是本站编辑们为广大网友精选的实用文章，本文阐述了关于文章的相关理论，相对来说专业性强，但是本文只是针对于某个问题提出的见解与论述，未必能辐射到相关问题的方方面面，所以本文处理问题的方法仅仅为您提供一些参考。更多问题请查阅学习中国网其他栏目哦.

-----------------------------------------------------------------------------------------------------------------------------------------------

http://www.x.com/lovehacker/index.jsp很可能存放在X:\IBM\WAServer\temp\default_host\default_app\pagecompile\_lovehacker_index_xjsp.class，这是已经编译过的index.jsp。_lovehacker_index_xjsp.class显然是我们不需要的文件，而且我们得到它的可能性也不大，我们要干的是不去执行_lovehacker_index_xjsp.class而是直接读index.jsp的内容。

　　据分析最初的xxx.JavaScript/" target="_blank">JSP暴露源代码也是因为前边的这种想法造成的，本来目录中存放了一个_xxx_xjsp.class，但访问xxx.JavaScript/" target="_blank">JSP本来是个合法的请求，而又找不到对应的Servlet所以就把xxx.JavaScript/" target="_blank">JSP当做一个文本或其它文件发送给了用户。

　　也许这是因为IBM HTTP SERVER配置不当造成的，但相信如果能成功的话，会有一种成就感，很爽的哦！

　　顺便说一下暴露文件存放真实路径可能会带来的危害：

　　1．先会让入侵者了解磁盘配置情况
　　2．明的入侵者甚至可以分析出管理员的水平高低
　　3．为入侵者修改你的首页提供了方便（起码不用在找你的WEB目录在那个磁盘了）
　　4．可能被利用一些其它的CGI的漏洞查找到Web目录下的文件如XX.ASP、XX.JavaScript/" target="_blank">JSP、XX.PHP等

本文章更多内容：<<上一页 - 1 - 2 - 3 - 4 - 5 - 6 - 7 - 8 - 下一页>>

本页地址