Resin多个远程信息泄露漏洞

最新推荐文章于 2024-06-20 22:49:58 发布
最新推荐文章于 2024-06-20 22:49:58 发布
阅读量1.2k 收藏
点赞数
分类专栏: 网络安全 文章标签: Web 应用服务器 Windows DOS Microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_3856/article/details/81885376
版权
Caucho Resin多个远程信息泄露漏洞
由于我工作的原因使用resin比较多,因为最近服务器因为这个漏洞被黑了,所以希望各个站长警惕起来,因为我发现使用resin的大站也不少例如17173还有pchome等,经过我的测试都有漏洞,虽然漏洞只能看源代码但是谁也不想自己辛苦写的东西给别人看吧。强烈支持使用resin的人打上补丁


Resin是一款由Caucho Technology开发的WEB服务器,可使用在Microsoft Windows操作系统下。

Resin for Windows实现上存在多个漏洞,远程攻击者可能利用此漏洞非授权获取敏感信息。

Resin没有正确过滤通过URL传送的输入,允许远程攻击者通过在URL中提供有任意扩展名的DOS设备文件名从系统上的任意COM或LPT设备读取连续的数据流、通过目录遍历攻击泄露Web应用的WEB-INF目录中的文件内容,或通过包含有特殊字符的URL泄露到Caucho Resin服务器的完整系统路径。


漏洞使用方法:[url=http://www.example.com:8080/[path]/[device].[extension]]http://www.example.com:8080/[path]/[device].[extension][/url]
http://www.example.com:8080/%20..\web-inf

修补方法:使用最新的resin或者去www.caucho.com下载最新的补丁
iteye_3856
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Resin Web服务器文件解析漏洞
阿诺轩
05-16 2165
Resin Web服务器文件解析漏洞author:Arno 2011-2-15摘要:Resin web server 在web.xml文件中servlet映射中支持正则表达式,比如标签” servlet-regexp”。但是在通用路径映射标签” servlet-mapping”的处理上也是将其属性”url-pattern”的值转化为正则表达式来进行servlet的映射,并且在转换时没有做安全校验处
【安全漏洞Resin解析漏洞分析
HBohan的博客
11-05 2511
前言 前阵子看有师傅在公众号上发表了Resin解析漏洞分析,我们也知道有个常用的OA用的就是Resin,因此我认为了解它的漏洞是十分必要的。 【学习资料】 原理分析 这个漏洞和IIS解析漏洞比较像,可以通过创建一个xxx.jsp的文件夹,并在其中放置一个txt文件,文件的内容将会被当作JSP解析。 我认为要分析这个漏洞原理,首先得先了解访问jsp文件时Resin是如何处理我们请求的。 首先看下*.jsp是被哪个Servlet处理的,从配置app- default.xml中可以看出,我们的请求会被com.ca
web中间件漏洞-Resin漏洞-密码爆破、上传war
最新发布
Alsn86的博客
06-20 259
想部署webshell,得使用SSL方式请求,访问https://192.168.1.2:8443/resin-admin/index.php?q=deploy&s=0(注:如果使用最新的火狐浏览器或者谷歌浏览器访问时可能会出现证书错误阻止访问,建议使用IE浏览器或者降低浏览器版本进行访问)。上传webshell,部署war文件,浏览选择C:\工具\resin\ma.war,点击Deploy。部署完成,访问即可xxx.xxx.xxx.xxx/ma/ma.jsp。
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
zz12345600354的博客
05-24 738
未分类Host 头攻击(高危)域名访问限制不严格(高危)URL 重定向(中危)会话劫持漏洞(中危)会话固定漏洞(中危)DNS 域传送漏洞(中危)检测到网站被黑痕迹(高危)传输层保护不足漏洞(中危)服务器启用了 TRACE Method 方法 (中危)点击劫持漏洞(X-Frame-Options 头缺失)(中危)启用了不安全的 HTTP 方法(启用了 OPTIONS 方法)(中危)Tomcat 版本过低漏洞 (中危)Apache Tomcat 示例目录漏洞 (中危)
Resin任意文件读取漏洞
weixin_30363509的博客
04-26 7152
Resin是什么 虽然看不上但是还是原因下百度百科: Resin是CAUCHO公司的产品,是一个非常流行的支持servlets和jsp的引擎,速度非常快。Resin本身包含了一个支持HTTP/1.1的WEB服务器。它不仅可以显示动态内容,而且它显示静态内容的能力也非常强,速度直逼APACHESERVER。许多站点都是使用该WEB服务器构建的。 可以认为是一个WEB服务器 Resin存在任意文件读...
针对Resin服务的攻击整理
热门推荐
weixin_50464560的博客
09-29 9万+
转载http://blkstone.github.io/2017/10/30/resin-attack-vectors/#:~:text=Resin%20for%20Windows%E5%AE%9E%E7%8E%B0%E4%B8%8A%E5%AD%98%E5%9C%A8%E5%A4%9A%E4%B8%AA%E6%BC%8F%E6%B4%9E%EF%BC%8C%E8%BF%9C%E7%A8%8B%E6%94%BB%E5%87%BB%E8%80%85%E5%8F%AF%E8%83%BD%E5%88%A9%E7%
IIS同时集成多个Resin(不同版本)的注意事项
09-30
以下是一些关于如何在IIS中配置和管理多个Resin实例的关键知识点: 1. **不同版本的Resin解析不同域名**: - 在这个场景中,example1.com被配置为使用Resin 3.0.x来解析其JSP脚本,而example2.com则由Resin 2.1.x...
apache2.2整合resin3+Eclipse远程调试
11-27
在Eclipse中,你需要创建一个Remote Java Application配置,指定主机(127.0.0.1或Resin服务器的实际IP)和端口(这里是8000),然后就可以开始远程调试你的Java应用了。 整合完成后,Apache将处理静态文件,而...
一个Resin配置多个集群应用[linux环境]
05-29
本主题聚焦于如何在Linux环境下利用Resin配置多个集群应用,这对于提升系统可用性和扩展性至关重要。下面将详细阐述相关知识点。 1. **Resin简介** Resin是由Caucho Technology开发的一款高性能、轻量级的Java应用...
Resin远程信息泄露漏洞
cnbird's blog
04-24 7534
受影响系统:   Caucho Technology Resin v3.1.0 for Windows   Caucho Technology Resin v3.0.21 for Windows   Caucho Technology Resin v3.0.20 for Windows   Caucho Technology Resin v3.0.19 for Windows   Cau
rmi反序列化导致rce漏洞修复_Resin payload复现Hessian反序列化RCE漏洞
weixin_28988985的博客
01-13 443
一,搭建测试环境测试环境使用最新的jar包将HessianTest.war放在tomcat / webapp /下,然后启动tomcat访问服务器并返回到以下页面以指示环境正常二,启动JNDI利用工具编译后,JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar执行命令:java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-al...
resin-4.0.27-pro 破解包
08-18
覆盖pro.jar到 resin-4.0.27-pro/lib目录下。版本号必须保证完全一致。
亲测可用Resin Pro 4.0.48破解文件
05-23
Resin Pro 4.0.48破解文件,亲测可用
resin-3.1.10
08-10
Resin3.1.10老版本Resin3.1.10老版本Resin3.1.10老版本
项目运行的服务器:Resin-4.0.58
04-19
名称:Resin,版本:4.0.58,系统:Windows,位数:64 项目运行的服务器:Resin-4.0.58
Resin 3.0.8
03-19
Resin是CAUCHO公司的产品,是一个非常流行的application server,对servlet和JSP提供了良好的支持,性能也比较优良,resin自身采用JAVA语言开发
Caucho Resin远程目录遍历漏洞
战斗机
06-17 1799
涉及程序: Caucho Resin 描述: Caucho Resin远程目录遍历漏洞 详细: Resin是一款由Caucho Technology开发的WEB服务器,可使用在Microsoft Windows操作系统下。 Resin捆绑了自己的单机版Web服务器,默认下运行在8080端口上,其对用户请求的处理上存在漏洞,远程攻击者可以利用此漏洞遍历服务...
resin启动一个bug的解决
restart
01-23 3217
这个bug的问题后来被确认为Resin所在目录层有中文目录名。 -------------------------------------------------------------------------------------------------------------------------- java.lang.NullPointerException  at com.cau
中间件漏洞
Le0nis的博客
08-07 2530
中间件漏洞Apache Tomcat 常见漏洞 Apache Tomcat 漏洞 1、/manager/html 管理后台弱口令 /manager/html 管理界面 后台弱口令 暴力破解http基础认证 用户名 密码 登陆后台上传war包 getwebshell 将webshell .jsp文件zip压缩成index.war上传 点击部署 2、Tomcat配置文件 安装目录下/co

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值