【问题标题】:How to reproduce JSF web.xml vulnerability如何重现 JSF web.xml 漏洞
【发布时间】:2014-09-14 05:47:56
【问题描述】:

javax.faces 2.1 jar 中存在一个已知的 web.xml 漏洞。 请考虑下面的 URL 以重现此问题,并由客户端提供重现此问题。

https://example.com/javax.faces.resource.../WEB-INF/web.xml.jsf (dummy URL)

但我们最终无法重现此问题。 我们尝试使用以下 URL 来重现此问题。

https://<external IP>:8181/javax.faces.resource.../WEB-INF/web.xml.jsf
https://<Localhost>:8181/javax.faces.resource.../WEB-INF/web.xml.jsf
https://<Localhost>:8181/ABC/javax.faces.resource.../WEB-INF/web.xml.jsf

请注意,部署的应用程序结构在两端是相同的。

因此,由于此问题的高优先级问题,我们将高度赞赏任何早期帮助以重现此问题。

提前致谢

【问题讨论】:

    标签: java jsf jsf-2 glassfish-3


    【解决方案1】:

    这是 javax.faces 2.1 jar 的一个非常常见的问题,各种 Web 应用程序都面临这种问题。 但是在以下 1) 中没有清楚地找到复制步骤,通过在 URL 中放置多少 ../../ 来实现路径遍历 2) 有时无法通过本地主机或 ip(内联网)复制,为什么? Java 面孔在这里有什么不同吗? 从理解上看,以上几点是非常关键的。如果有人能花时间解释一下会很有帮助。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2015-07-11
      • 1970-01-01
      • 2018-09-16
      • 2012-01-04
      • 2022-10-04
      • 2022-12-19
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多