页面参数是JSP动态包孕中的url带来的漏洞
日期:2014-05-16 浏览次数:20351 次
页面参数是JSP动态包含中的url带来的漏洞
????? 部分使用http://127.0.0.1/person.jsp?url=BasicInfo.jsp 模式来进行访问的的页面,参数url的值是页面中动态包含的地址。若在 person.jsp 中对url的值不做限制,就可以被利用显示一些访问受限的文件内容,如:url=/web-inf/classes/com/company/util/xxx.java 。解密的工具类也可能被泄露除去,非常危险。?
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
