Blazix - бесплатный Web сервер, написанный на JAVA, для Linux и Windows платформ. В программе обнаружено 2 уязвимости:
1. Когда пользователь передает запрос о существующем JSP файле, заканчивающийся плюсом(+) или backslash (\), Web сервер
раскрывает содержание такого файла. Пример:
http://www.example.com/jsptest.jsp+
http://www.example.com/jsptest.jsp\
2. Blazix не в состоянии обработать некоторые символы, добавленные в конец к запросу. Передача таких символов в запросе к Web серверу, позволяет получить содержание защищенной паролем директории. Полученная информация может использоваться в дальнейших нападениях. Пример:
http://www.example.com/bugtest+/
http://www.example.com/bugtest\/
