Resin Web服务器文件解析漏洞

最新推荐文章于 2024-06-20 22:49:58 发布
最新推荐文章于 2024-06-20 22:49:58 发布
阅读量2.1k 收藏
点赞数
分类专栏: security 文章标签: resin 漏洞 解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heyarno/article/details/45770655
版权
Resin web服务器存在文件解析漏洞,由于在处理`servlet-mapping`时未对`url-pattern`进行安全校验,允许攻击者通过构造特殊URL使服务器将非预期文件作为特定类型处理,例如将.gif文件解析为.jsp。影响所有版本的Resin。解决方案包括修改配置文件以限制文件扩展名。
摘要由CSDN通过智能技术生成

Resin Web服务器文件解析漏洞

author:Arno 2011-2-15

摘要:Resin web server 在web.xml文件中servlet映射中支持正则表达式,比如标签” servlet-regexp”。但是在通用路径映射标签” servlet-mapping”的处理上也是将其属性”url-pattern”的值转化为正则表达式来进行servlet的映射,并且在转换时没有做安全校验处理,所以在web服务器处理*.ext之类的请求会调用特定的sevlet来解析,从而产生解析漏洞。

发布日期:2010-2-15

更新日期:2010-2-15

—————————————-纯洁的分割线——————————————————————-

<很早很早以前的文章了,因为给Resin发邮件,他忽略了该漏洞;另外要开始专注写博客了,所以拿出来凑凑数 。哈哈哈>

受影响版本:

Resin web服务器所有版本

描述:

Resin是CAUCHO公司的产品,是一个非常流行的application server,对servlet和JSP提供了良好的支持,性能也比较优良,resin自身采用JAVA语言开发。

Resin 在处理servlet mapping时支持使用正则表达式来进行处理,将url-pattern转化为正则表达式的时候没有进行安全校验,并且在进行正则表示匹配的时候使用的匹配方式是匹配输入串中与模式匹配的子串,结合上面点,攻击者能够构造特殊的url来使得web服务器调用特定的类来进行解析。

比如:

  /x.jspx/x.x 文件会被当做jspx文件来进行解析
  /x.jsp/x.x 文件将被当做jsp文件来解析
最低0.47元/天 解锁文章
heyarno
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【安全漏洞Resin解析漏洞分析
HBohan的博客
11-05 2553
前言 前阵子看有师傅在公众号上发表了Resin解析漏洞分析,我们也知道有个常用的OA用的就是Resin,因此我认为了解它的漏洞是十分必要的。 【学习资料】 原理分析 这个漏洞和IIS解析漏洞比较像,可以通过创建一个xxx.jsp的文件夹,并在其中放置一个txt文件,文件的内容将会被当作JSP解析。 我认为要分析这个漏洞原理,首先得先了解访问jsp文件Resin是如何处理我们请求的。 首先看下*.jsp是被哪个Servlet处理的,从配置app- default.xml中可以看出,我们的请求会被com.ca
从一次某微OA的漏洞复现,聊聊Resin的这个特性1
08-03
问题描述测试文件"特性"场景step1-上传文件在写某微OA的文件上传漏洞的EXP时,发现上传jsp文件后,即使jsp文件自删除后仍然可以访问(坑了我老半天时间
Resin远程信息泄露漏洞
cnbird's blog
04-24 7572
受影响系统:   Caucho Technology Resin v3.1.0 for Windows   Caucho Technology Resin v3.0.21 for Windows   Caucho Technology Resin v3.0.20 for Windows   Caucho Technology Resin v3.0.19 for Windows   Cau
web中间件漏洞-Resin漏洞-密码爆破、上传war
最新发布
Alsn86的博客
06-20 306
想部署webshell,得使用SSL方式请求,访问https://192.168.1.2:8443/resin-admin/index.php?q=deploy&s=0(注:如果使用最新的火狐浏览器或者谷歌浏览器访问时可能会出现证书错误阻止访问,建议使用IE浏览器或者降低浏览器版本进行访问)。上传webshell,部署war文件,浏览选择C:\工具\resin\ma.war,点击Deploy。部署完成,访问即可xxx.xxx.xxx.xxx/ma/ma.jsp。
Resin多个远程信息泄露漏洞
战斗机
06-17 1312
Caucho Resin多个远程信息泄露漏洞 由于我工作的原因使用resin比较多,因为最近服务器因为这个漏洞被黑了,所以希望各个站长警惕起来,因为我发现使用resin的大站也不少例如17173还有pchome等,经过我的测试都有漏洞,虽然漏洞只能看源代码但是谁也不想自己辛苦写的东西给别人看吧。强烈支持使用resin的人打上补丁 Resin是一款由Caucho Technology...
Resin任意文件读取漏洞
weixin_30363509的博客
04-26 7242
Resin是什么 虽然看不上但是还是原因下百度百科: Resin是CAUCHO公司的产品,是一个非常流行的支持servlets和jsp的引擎,速度非常快。Resin本身包含了一个支持HTTP/1.1的WEB服务器。它不仅可以显示动态内容,而且它显示静态内容的能力也非常强,速度直逼APACHESERVER。许多站点都是使用该WEB服务器构建的。 可以认为是一个WEB服务器 Resin存在任意文件读...
针对Resin服务的攻击整理
热门推荐
weixin_50464560的博客
09-29 10万+
转载http://blkstone.github.io/2017/10/30/resin-attack-vectors/#:~:text=Resin%20for%20Windows%E5%AE%9E%E7%8E%B0%E4%B8%8A%E5%AD%98%E5%9C%A8%E5%A4%9A%E4%B8%AA%E6%BC%8F%E6%B4%9E%EF%BC%8C%E8%BF%9C%E7%A8%8B%E6%94%BB%E5%87%BB%E8%80%85%E5%8F%AF%E8%83%BD%E5%88%A9%E7%
Resin服务的攻击整理
qq_50854662的博客
03-04 342
Resin服务的攻击整理
resin4 web服务器
01-10
Resin提供了最快的jsp/servlets运行平台。在java和javascript的支持下,Resin可以为任务灵活选用合适的开发语言。Resin的一种先进的语言XSL(XML stylesheet language)可以使得形式和内容相分离。 如果您选用jsp平台...
resin web 服务器
11-22
Resin Web 服务器是一款高效、轻量级的Java应用服务器,尤其以它的快速性能而闻名。Resin 4 专业版是其一个重要的版本,它提供了比Tomcat更优秀的性能和更多的特性,使得开发和部署Java Web应用程序变得更加简便。...
resin-4.0.27-pro 破解包
08-18
覆盖pro.jar到 resin-4.0.27-pro/lib目录下。版本号必须保证完全一致。
Resin server5.5
03-06
Resin是CAUCHO公司的产品,是一个非常流行的application server,对servlet和JSP提供了良好的支持,性能也比较优良,resin自身采用JAVA语言开发
亲测可用Resin Pro 4.0.48破解文件
05-23
Resin Pro 4.0.48破解文件,亲测可用
Resin 3.0.8
03-19
Resin是CAUCHO公司的产品,是一个非常流行的application server,对servlet和JSP提供了良好的支持,性能也比较优良,resin自身采用JAVA语言开发
resin java web 容器 服务器
09-26
Resin也可以和许多其他的WEB服务器一起工作,比如Apache server和IIS等。Resin支持Servlets 2.3标准和JSP 1.2标准。熟悉ASP和PHP的用户可以发现用Resin来进行JSP编程是件很容易的事情。 Resin支持负载平衡(Load ...
web开发的服务器resin3.1.3
11-28
Resin 3.1.3 是一款高效且功能丰富的Web应用服务器,与知名的Tomcat相比,它在性能和可扩展性方面有着独特的优势。这款服务器主要用于支持Java Web应用程序,包括Servlets、JSP以及JavaServer Faces (JSF)等技术。...
resin4.0.53 服务器
10-10
Resin 4.0.53 服务器是一款由CAUCHO公司推出的高性能应用服务器,专为处理Servlet和JSP应用程序而设计。Resin以其高效、稳定和强大的特性,在IT行业中得到了广泛应用。它不仅是一个Java应用服务器,同时也符合Java ...
Caucho Resin远程目录遍历漏洞
战斗机
06-17 1833
涉及程序: Caucho Resin 描述: Caucho Resin远程目录遍历漏洞 详细: Resin是一款由Caucho Technology开发的WEB服务器,可使用在Microsoft Windows操作系统下。 Resin捆绑了自己的单机版Web服务器,默认下运行在8080端口上,其对用户请求的处理上存在漏洞,远程攻击者可以利用此漏洞遍历服务...
resin服务器配置文件下载
04-30
要下载 Resin 服务器的配置文件,需要先从官方网站(http://resin.caucho.com/)下载 Resin 服务器的压缩包并解压缩。其中包含配置文件的路径通常为 /conf/resin.xml。可以使用文本编辑器(例如 Notepad++)打开此文件并进行编辑。Resin 服务器的配置文件包含了服务器的基本参数,例如端口、日志文件路径等等。 需要注意的是,修改后的配置文件需要被保存并重启 Resin 服务器才能生效。 如果想要使用 Resin 服务器作为 Web 服务器,还需要在配置文件中增加一些额外的路径映射,例如将 /myapp 路径映射到本地磁盘上的一个 Web 应用程序。这些额外的路径映射需要按照 Resin 服务器的标准格式添加到配置文件中。 在编辑配置文件时需要注意正确地使用 XML 格式并保证语法正确,否则 Resin 服务器可能无法正常启动或者提供正确的服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值