Sun Java Web Server可以远程执行任意命令

最新推荐文章于 2024-08-08 22:50:50 发布
最新推荐文章于 2024-08-08 22:50:50 发布
阅读量586 收藏
点赞数
文章标签: sun java server web web服务 servlet

Sun的Java Web服务器存在多个安全问题,允许攻击者远程以web服务器权限执行命令。

  它的Web管理模块监听9090端口,通过http处理管理命令。

  "com.sun.server.http.pagecompile.jsp92.JspServlet" servlet用来编译并执行JSP文件的,

  通过增加"/servlet/"前缀,远程用户可以使用这个servlet来编译并执行管理目录下的任意JSP

  文件。

  这个服务器缺省带了一个留言版的演示程序,它允许用户通过

 

  提交文章并将提交的内容储存在board.html中。

  攻击者可以将某些JSP语句通过留言版输入,然后调

  用"com.sun.server.http.pagecompile.jsp92.JspServlet"去编译执行board.html文件:

 

  这将导致攻击者远程以web服务器权限执行命令。


原文出自【比特网】,转载请保留原文链接:http://www.tyjdp.net/

kxkselina3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Sun推出支持下一代加密标准的Java系统Web服务
11-27
Sun Microsystems在Java System Web Server 7.0版本中引入了对Elliptic Curve Cryptography (ECC)的支持,这是一个重大的技术进步,特别是在网络安全和移动设备领域。ECC是一种先进的加密技术,被美国国家安全局选中...
java web漏洞_常见 Java Web 容器通用远程命令执行漏洞
weixin_35782556的博客
02-15 413
### 漏洞概述国外 FoxgLove 安全团队公开了一篇关于常见 Java Web 容器如何利用反序 列化操作进行远程命令执行的文章[1],并在文章中提供了相应的利用工具。文中 所涉及到的 Java Web 容器有:WebSphere,JBoss,Jenkins,WebLogic 和 OpenNMS。### 漏洞演示使用文章中所提供的 Payload 生成工具 ysoserial[2]和 PoC...
JAVA RMI 反序列化远程命令执行漏洞
热门推荐
LeeHDsniper的博客
05-11 2万+
JAVA RMI 反序列化远程命令执行漏洞 漏洞资料 背景 原理 Payload构造 搭建本地测试环境 开启包含第三方库的RMI服务 测试RMI客户端 攻击测试 升级版攻击 Weblogic Commons-Collections反序列化RCE漏洞CVE-2015-4852JAVA RMI 反序列化远程命令执行漏洞漏洞资料Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-324
java web程序SSH到服务器执行命令
weixin_30612769的博客
02-02 105
jar包:j2ssh-core-0.2.9.jar Maven pom.xml <dependency> <groupId>sshtools</groupId> <artifactId>j2ssh-core</artifactId> <version>0.2.9</version&g...
Sun Java Studio 的 Web 应用程序框架 概述.pdf
05-27
J2EE 提供了一套标准化的框架和技术栈,包括 Servlets、JSP(JavaServer Pages)、EJB(Enterprise JavaBeans)等,大大提高了开发效率和应用性能。 **1.4 J2EE 应用程序框架的出现** 为了进一步简化开发过程并...
java使用webserver发布服务端和客户端
07-17
在这个项目中,我们将探讨如何使用Java WebServer发布服务端,以及如何创建一个客户端来调用这些服务。 首先,我们从服务端开始。服务端通常包含一个或多个Web服务接口,这些接口定义了可供客户端调用的操作。在JAX...
JAVA HTTP 发送 接收 com.sun.net.httpserver包 demo
11-21
Java中,我们可以使用多种库来实现HTTP通信,其中包括`com.sun.net.httpserver`包,这是一个内置的轻量级HTTP服务器,适用于测试、原型设计以及简单的应用。本示例将详细介绍如何使用`com.sun.net.httpserver`包...
J031_使用TCP协议支持与多个客户端同时通信
lzn20161229的博客
08-03 484
使用TCP协议支持与多个客户端同时通信。
C++ - 函数重载
jiaowenjie的专栏
08-06 257
/打印的是第二个函数的地址。//打印的是第一个函数的地址。-> 重载函数在本质上是相互独立的不同函数。-> 函数返回值不能作为函数重载的依据。-> 重载函数的函数类型不同。**3.函数默认参数和函数重载****函数重载的注意事项:****4.函数重载的本质**
枚举工具类
qq_43049583的博客
08-04 474
java枚举工具类
SpringBoot+Vue图书(图书借阅)管理系统-附项目源码与配套文档
m0_74283290的博客
08-03 1321
本论文阐述了一套先进的图书管理系统的设计与实现,该系统采用Java语言,结合现代Web开发框架和技术,旨在为图书馆提供高效、灵活且用户友好的资源管理解决方案。系统利用Spring Boot框架为核心,整合MyBatis ORM工具,以及MySQL数据库,构建了一个高性能、可扩展的后端服务。前端界面则采用了Vue.js框架,以提供流畅的用户交互体验。论文首先进行了详尽的需求分析,确定了系统的核心功能,包括图书的添加、编辑、删除、查询,读者的注册、登录、个人信息管理,以及图书的借阅、归还、续借流程。
等待唤醒机制两种实现方法-阻塞队列
泰勒今天想展开的博客
08-04 549
桌子上有面条-》吃货执行桌子上没面条-》生产者制造执行
时光不等人:java每日一练
m0_67187271的博客
08-05 1027
时光悄然流逝,不等人。技术亦不会自来门前,唯有勤奋学习,方能抓住时代的脉搏。
javaweb)请求响应postman
最新发布
2301_79144798的博客
08-08 220
1.Tomcat又称为servlet容器前端浏览器发起请求携带http请求数据,web服务器负责请求协议的解析,Tomcat接收请求数据,并对请求数据进行解析。Tomcat将解析后所有的信息封装到一个对象当中:HttpServletRequest(请求对象)---应用程序从中获取请求数据。HttpServletResponse--通过这个对象设置要响应的数据 --响应信息给浏览器浏览器--服务器::BS架构(通过浏览器能访问到的网站:京东 淘宝 天猫 唯品会都是BS架构)
Servlet(2)
xjdkxnhcoskxbco的博客
08-04 781
这个注解可以用来修饰一个Servlet类,可以简化配置,替代Web.xml中 的servlet配置。
Spring事务
c1tenj2的博客
08-07 331
以银行转账为例,一次转账操作伴随着一个账户的扣钱和另一个账户的加钱,这个流程是一个原子操作,要么同时发生,一气呵成,要么都不做。AccountServiceImpl实现AccountService接口,里面只有一个转账方法AccountMapper以及其映射文件account数据库测试代码用1/0模拟程序运行时出现异常的情况由于没有开启事务,出现了莫名其妙少了100块钱的情况,说明这个事务不是连续的。
Spring Boot 3.x Rest API最佳实践之API设计
felix_alone2012的博客
08-08 651
本系列教程将会以企业中API基础功能封装为目标,用最新的Spring Boot 3.x版本来逐步搭建和完善Rest API项目基础架构,并结合实际电商项目中API的实现需求来进行最佳实践。如果觉得对你有帮助,记得点赞收藏,关注小卷,后续更精彩!
Sun Java System Web Server 7.0 管理深度解析
Sun Java System Web Server 7.0 管理员指南是由Sun Microsystems, Inc.发布的官方文档,它提供了对该服务器的全面管理和配置指导。该版本发布于2006年10月,旨在帮助系统管理员优化和维护SunWeb服务器解决方案。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值