发现Tomcat5.0.19 windows版的严重安全问题!

04-04-22 fightplane
系统环境:winxp

tomcat5.0.19

随便写一个jsp文件,放到服务的目录下。然后大写文件扩展名访问该文件。文件名.JSP,然后点击浏览器的转到。jsp文件的源码全部出来。

平时为了开发方便在自己机器上安装了一套jsp环境。无意中发现了这个问题,在linux下测试没发现有这类问题。

我的MSN:fightplane@hotmail.com。希望和喜欢java和web开发的朋友多多交流;)

ray_linn
2004-04-29 17:31
设计者的愚蠢而已,没有考虑到不同平台的特性。Linux是大小写区分的,而Windows不区分大小写,tomcat只考虑了处理小写jsp的情况,却没考虑到处理大写jsp的情况。

其实各种JSP服务器的漏洞和IIS一样可笑。tomcat 3.1就已经有这个倒霉的问题乐。

koji
2004-04-30 14:50
我@winxp]成功

不知有]有其他人也@!?

koji

猜你喜欢