360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
严重严重

系统存在resin列目录漏洞

WASC Threat Classification

发现时间:

2016-04-08

漏洞类型:

配置错误

所属建站程序:

其他

所属服务器类型:

Resin

所属编程语言:

其他

描述:

目标系统存在resin列目录漏洞。ResinCAUCHO公司的产品,是一个非常流行的支持servletsjsp的引擎,速度非常快。

漏洞编号:

BUGTRAQ ID: 2384

CVE(CAN) ID: CAN-2001-0304

Caucho Technology Resin 1.2.2存在一个安全问题。远程用户可以获取http

目录之外的文件的读取权限。通过构造一个特别的包含'/..'或者'/...'URL,可能导致目录遍历。

此问题只影响在Windows NT/2000系统中安装的Resin.

验证方式:打开目标页面验证是否存在目录列表。

示例:



危害:

1.攻击者可以浏览该目录下的所有文件列表。

2.如果该目录不存在默认的主页面文件,并且该目录包含了敏感的文件内容(如应用程序源码文件或其它的重要文件内容),那么将导致敏感文件内容外泄,从而对企业造成直接的经济损失或为攻击者提供进一步攻击的有效信息。

受影响系统:

Caucho Technology Resin 1.2.2

- Microsoft IIS 5.0

+ Microsoft Windows NT 2000

- Apache Group Apache 1.3.9


解决方案:

升级resin到最新版本,官方地址http://caucho.com/


如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论