This Domain(Admin5.com) is for Sale:

JSP漏洞大观

时间:2007-10-22  来源:不详  作者:林子

  weBlogic.httpd.defaultServlet=file

   有两种方法可以避免这个问题:

  (1)注册那些文件 servlet 使用随机用户名,加大猜测难度。例如使用象这样注册文件 servlet 为 12foo34:
  weBlogic.httpd.register.12foo34=weBlogic.servlet.FileServlet
  weBlogic.httpd.initArgs.12foo34=defaultFilename=index.html
  weBlogic.httpd.defaultServlet=12foo34

  (2)注册文件 servlet 使用 wild cards 声明你将使用所有这些文件扩展名作服务。举例注册文件 servlet 为 .html 文件服务:
  weBlogic.httpd.register.*.html=weBlogic.servlet.FileServlet
  weBlogic.httpd.initArgs.*.html=defaultFilename=index.html
  weBlogic.httpd.defaultServlet=*.html

  使用上面的方法重复加入以下类型的文件 *.gif, *.jpg, *.pdf, *.txt, etc.
  注意:这些信息是备有证明在 BEA WebLogic Server and Express 说明档的:http://www.weBlogic.com/docs51/admindocs/lockdown.html
  另:请留意新版本并升级吧。

看完这篇,您有何感觉呢?

文章评论

共有位Admini5网友发表了评论 查看完整内容

24小时热门信息