JSP安全性初探 (3) - 推荐教程

JSP安全性初探<1>(3)

原作者:kuku 添加时间:2007-06-02 原文发表:2007-06-02 人气:10 来源：互联网

本文章共4482字，分8页，当前第3页，快速翻页：

-----------------------------------------------------------------------------------------------------------------------------------------------

本文提示：《JSP安全性初探<1>(3)》是本站编辑们为广大网友精选的实用文章，本文阐述了关于文章的相关理论，相对来说专业性强，但是本文只是针对于某个问题提出的见解与论述，未必能辐射到相关问题的方方面面，所以本文处理问题的方法仅仅为您提供一些参考。更多问题请查阅学习中国网其他栏目哦.

-----------------------------------------------------------------------------------------------------------------------------------------------

　　JavaScript/" target="_blank">JSP安全问题主要有哪几方面？

　　本节重点在于对jsp安全问题进行分类阐述和提出解决的建议，所以每种类型的安全问题只采用了一个例子，对于其它各种漏洞的具体细节如涉及到何种软件版本何种操作系统等就不一一进行阐述了，有兴趣的读者可以到jsp爱好者(http://jspbbs.yeah.net)或者国外的安全站点(http://www.securityfocus.com)进行查看和参考。

　　根据目前已经发现的jsp安全问题，不妨将它们分为以下几类，源代码暴露类、远程程序执行类和其他类别, 下面来看看具体的东西吧。

　　一、源代码暴露类

　　源代码暴露类别主要指的是程序源代码会以明文的方式返回给访问者。
　　我们知道不管是jsp还是asp、php等动态程序都是在服务器端执行的，执行后只会返回给访问者标准的html 等代码。这是理论上的东西，实际运行起来由于服务器内部机制的问题就有可能引起源代码暴露的漏洞，简单的例子只要在程序文件名后加几个简单的字符就可能获得程序代码，如常见微软asp 的global.asa+.htr、XXXX.asp%81等等漏洞。

　　1．添加特殊后缀引起jsp源代码暴露

　　在jsp中也存在着和asp这些漏洞类似的问题，如IBM Websphere Application Server 3.0.21、BEA Systems Weblogic 4.5.1、Tomcat3.1等jsp文件后缀大写漏洞；jsp 文件后加特殊字符如Resin1.2的%82、../漏洞；ServletExec的%2E、+漏洞等等。

本文章更多内容：<<上一页 - 1 - 2 - 3 - 4 - 5 - 6 - 7 - 8 - 下一页>>

本页地址