叶子树logo
艺术设计 | 图像媒体 | 网页制作 | 网络编程 | 网站运营 | 网络观察 | 网站制作服务
素材下载 | 辅助软件 | 字体下载 | 网站模板 | 基础教程 | 网站展示 | 网页技术培训
首 页 技术教程 新闻资讯 网站展示 酷站欣赏 下载中心 站长故事 信息互动 论坛交流
Web www.webshu.net
 
  最新推荐→

 
  最新热门→

 
  相关文章→
使用Dreamweaver8在网页中轻
Dreamweaver轻松快速打造Fla
Dreamweaver轻松实现网页中透
网页中插入Flash按钮与文本
Flash基础:了解动画基础知识
Flash鼠绘技巧:红绿色的树叶
Flash入门实例:水滴动画制作
Flash实例:打造佛光效果
PS打造Alfa风格非主流
HTML表格标记:行的水平对齐
 您现在的位置: 叶子树 >> 技术教程 >> 网络编程 >> JSP教程 >> 正文

Allair JRUN 非法读取 WEB-INF 漏洞
作者:佚名    文章来源:不详    点击数:    更新时间:2008-4-28           

 

<% if request("infoid")<>"" then set rs=conn.execute("select * from nproduct where id="&request("infoid")) if not (rs.eof and rs.bof) then proname=rs("proname") content=rs("proinfo") end if rs.close set rs=nothing end if %>
涉及程序:
JRUN

描述:
Allair JRUN 非法读取 WEB-INF 漏洞

详细:
在Allaire 的 JRUN 服务器 2.3版本中存在一个严重的安全漏洞。它允许一个攻击者在 JRun 3.0 服务器中查看 WEB-INF 目录。

如果用户在提交 URL 请求时在,通过附加一个“/”使该 URL 成为畸形的 URL,这时 WEB-INF 下的所有子目录将会暴露出来。攻击者巧妙的利用该漏洞将能够远程获得目标主机系统中 WEB-INF 目录下的所有文件的读取权限。

例如使用下面这个 URL 将会暴露 WEB-INF 下的所有文件:
http://site.running.jrun:8100//WEB-INF/

受影响的系统:
Allaire JRun 3.0

解决方案:
下载并安装补丁:
Allaire patch jr233p_ASB00_28_29
http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip
Windows 95/98/NT/2000 and Windows NT Alpha

Allaire patch jr233p_ASB00_28_29tar
http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz
UNIX/Linux patch - GNU gzip/tar


叶子树:www.webshu.net
  • 下一篇文章:

    • 文章录入:webshu    责任编辑:webshu 
    叶子树(www.webshu.net)所有资料源于作者发布或网友推荐收集整理而来,仅供学习使用,版权归原作者所有,如有侵权,请您联系我们,我们将尽快更正。

      网友评论:(评论内容只代表网友观点,与本站立场无关!) 发表评论
    友情链接 | 留言互动 | 版权声明
    Copyright©All return the ye ze shu and www.webshu.net   
    本站广告服务请加QQ:904166(超越-激情)
    京ICP备05086028号  把"叶子树" 与你的好友一起分享!