Уязвимость, обнаруженная в нескольких Web серверах, позволяет удаленному атакующему получить доступ к содержанию WEB-INF каталога используя измененный запрос. В WEB-INF содержатся
важные данные, типа HTML документов, JSP страниц, JAVA Servlet и т.п. Доступ к информации в этой директории через Web интерфейс запрещен. Если к запросу о документе в WEB-INF, добавить '.' после имени директории, то такой файл будет
передан пользователю. Полученная информация может использоваться в дальнейших нападениях против уязвимой системы. 

Пример: 

http://www.someserver.com/WEB-INF./web.xml 

Уязвимость обнаружена в HP Application Server 8.0, jo! jo Webserver 1.0 rc1, Macromedia JRun 3.0-4.0, Oracle Oracle 9i Application Server 9.0.2, Orion* Orion Application Server 1.5.3, Pramati Pramati Server 3.0, Sybase Enterprise Application Server 4.0.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии