我们在tomcat 6.0中部署了一个Web应用程序,当我们请求URL时,我们在日志文件中收到以下错误。你能帮我搞清楚错误
吗?SEVERE: Servlet.service() for servlet jsp threw exception
javax.servlet.jsp.JspTagException: Invalid JSP file %2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf
at examples.ShowSource.doEndTag(ShowSource.java:41)
at org.apache.jsp.jsp.source_jsp._jspService(source_jsp.java:87)
at org.apache.jasper.runtime.HttpJspBase.service(HttpJspBase.java:70)
at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
at org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:388)
at org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:313)
at org.apache.jasper.servlet.JspServlet.service(JspServlet.java:260)
at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
答案 0 :(得分:3)
这与this NetWare 6.0 specific expolit。
有关112119:Novell NetWare 6.0 Tomcat Source.jsp遍历任意文件访问
风险4:Netware
随NetWare 6.0一起发布的Apache Tomcat服务器存在目录遍历漏洞。因此,可以从NetWare服务器获取敏感信息,例如位于AUTOEXEC.NCF中的RCONSOLE密码。
示例:
http://target/examples/jsp/source.jsp?%2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf<强>解决方案:
将Tomcat升级到最新版本,或者在不需要时禁用该服务。从Web服务器中删除默认文件。此外,请确保RCONSOLE密码已加密,并使用受密码保护的屏幕保护程序进行控制台访问。
<强>参考文献:
CVSS信息:
低攻击复杂性,完全保密影响
<强>信用卡:
成立:2009-12-04
修补您的服务器。
答案 1 :(得分:2)
此
%2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf
urldecode to
../../../../system/autoexec.ncf
这可能是企图攻击您的服务器。