0

我们在 tomcat 6.0 中部署了一个 Web 应用程序,当我们请求 URL 时,我们在日志文件中收到以下错误。你能帮我找出错误吗

SEVERE: Servlet.service() for servlet jsp threw exception
    javax.servlet.jsp.JspTagException: Invalid JSP file     %2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf
    at examples.ShowSource.doEndTag(ShowSource.java:41)
    at org.apache.jsp.jsp.source_jsp._jspService(source_jsp.java:87)
    at org.apache.jasper.runtime.HttpJspBase.service(HttpJspBase.java:70)
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
    at org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:388)
    at org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:313)
    at org.apache.jasper.servlet.JspServlet.service(JspServlet.java:260)
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
4

2 回答 2

3

这与此 NetWare 6.0 特定 expolit相关。

112119:Novell NetWare 6.0 Tomcat Source.jsp 遍历任意文件访问

风险 4:网络软件

随 NetWare 6.0 分发的 Apache Tomcat 服务器存在目录遍历漏洞。因此,可以从 NetWare 服务器获取敏感信息,例如位于 AUTOEXEC.NCF 中的 RCONSOLE 密码。

例子 :

http://target/examples/jsp/source.jsp?%2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf

解决方案:

将 Tomcat 升级到最新版本,如果不需要,则禁用该服务。从 Web 服务器中删除默认文件。此外,确保 RCONSOLE 密码已加密,并使用受密码保护的屏幕保护程序进行控制台访问。

参考:

CVSS 信息:

低攻击复杂性,完全保密影响

信用:

成立时间:2009-12-04

修补您的服务器。

于 2012-11-08T14:59:32.893 回答
2

这个

%2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf

url解码为

../../../../system/autoexec.ncf

这可能是攻击您的服务器的尝试。

于 2012-11-08T14:58:50.397 回答