在jsp中也存在著和asp這些漏洞類似的問題,如IBM Websphere Application Server 3.0.21、BEA Systems Weblogic 4.5.1、Tomcat3.1等jsp文件后綴大寫漏洞;jsp 文件后加特殊字符如Resin1.2的%82、../漏洞;ServletExec的%2E、+漏洞等等。
解決方法:IIS以前一個有效地解決asp漏洞的方法,就是將asp程序單獨放置一個目錄,目錄設置上用戶權限只能執行不能讀取。在jsp環境下同樣可以通過設置服務器的環境來解決這個問題,簡單的說,就是將一些比較重要的目錄如WEB-INF、classes等設置上訪問的權限,不允許讀而取只允許執行。以apache 下解決為例,可以在httpd.conf文件中添加一目錄WEB-INF并設置Deny from all等屬性。
1.Authentication:通訊實體相互驗證對方的行為是以一個明確的身份在進行的一種機制。 2.Access control for resources:對某組用戶來說,對數據庫的某些操作是受到限制的,或對有些程序強調可用性,完整性或保密性的一種機制。 3.Data Integrity:數據在傳遞過程中保證不被第三方修改的一種機制。 4.Confidentiality or Data Privacy:保證數據只被那些授權使用的用戶使用,能被安全傳遞的一種機制。
