JSP漏洞大观
时间:2007-10-22 来源:不详 作者:林子
weBlogic.httpd.defaultServlet=file
有两种方法可以避免这个问题:
(1)注册那些文件 servlet 使用随机用户名,加大猜测难度。例如使用象这样注册文件 servlet 为 12foo34:
weBlogic.httpd.register.12foo34=weBlogic.servlet.FileServlet
weBlogic.httpd.initArgs.12foo34=defaultFilename=index.html
weBlogic.httpd.defaultServlet=12foo34
(2)注册文件 servlet 使用 wild cards 声明你将使用所有这些文件扩展名作服务。举例注册文件 servlet 为 .html 文件服务:
weBlogic.httpd.register.*.html=weBlogic.servlet.FileServlet
weBlogic.httpd.initArgs.*.html=defaultFilename=index.html
weBlogic.httpd.defaultServlet=*.html
使用上面的方法重复加入以下类型的文件 *.gif, *.jpg, *.pdf, *.txt, etc.
注意:这些信息是备有证明在 BEA WebLogic Server and Express 说明档的:http://www.weBlogic.com/docs51/admindocs/lockdown.html
另:请留意新版本并升级吧。
上一篇:全面解析JDBC 下一篇:在JSP中访问数据库大全
文章评论
共有位Admini5网友发表了评论 查看完整内容