JSP漏洞大观 (9) - 推荐教程

JSP漏洞大观<2>(9)

原作者:kuku 添加时间:2007-06-02 原文发表:2007-06-02 人气:7 来源：互联网

本文章共5038字，分10页，当前第9页，快速翻页：

-----------------------------------------------------------------------------------------------------------------------------------------------

本文提示：《JSP漏洞大观<2>(9)》是本站编辑们为广大网友精选的实用文章，本文阐述了关于文章的相关理论，相对来说专业性强，但是本文只是针对于某个问题提出的见解与论述，未必能辐射到相关问题的方方面面，所以本文处理问题的方法仅仅为您提供一些参考。更多问题请查阅学习中国网其他栏目哦.

-----------------------------------------------------------------------------------------------------------------------------------------------

http://www.xxx.com/ConsoleHelp/login.jsp

　　解决方案：
　　不要使用示例中的设置方法设置 FileServlet 。这可能会让你的 JavaScript/" target="_blank">JSP/JHTML 文件的源代码暴露出来。请查看在线文档:
　　http://www.weblogic.com/docs51/admindocs/http.html#file

　　示例的 registrations 如下：
　　weblogic.httpd.register.file=weblogic.servlet.FileServlet
　　weblogic.httpd.initArgs.file=defaultFilename=index.html
　　weblogic.httpd.defaultServlet=file

　　有两种方法可以避免这个问题：

　　（1）注册那些文件 servlet 使用随机用户名，加大猜测难度。例如使用象这样注册文件 servlet 为 12foo34：
　　weblogic.httpd.register.12foo34=weblogic.servlet.FileServlet
　　weblogic.httpd.initArgs.12foo34=defaultFilename=index.html
　　weblogic.httpd.defaultServlet=12foo34

　　（2）注册文件 servlet 使用 wild cards 声明你将使用所有这些文件扩展名作服务。举例注册文件 servlet 为 .html 文件服务：
　　weblogic.httpd.register.*.html=weblogic.servlet.FileServlet
　　weblogic.httpd.initArgs.*.html=defaultFilename=index.html

本文章更多内容：<<上一页 - 1 - 2 - 3 - 4 - 5 - 6 - 7 - 8 - 9 - 10 - 下一页>>

本页地址