|
 Вариант для распечатки |
Пред. тема | След. тема | ||
Форумы
Разговоры, обсуждение новостей (Public)
| |||
|---|---|---|---|
| Изначальное сообщение | [Проследить за развитием треда] | ||
| "OpenNews: Выход за пределы текущей директории в Apache Tomca..." | |
Сообщение от opennews  on 16-Мрт-07, 20:04 | |
Apache Tomcat (http://tomcat.apache.org/) 5 версии ниже 5.5.22 и Apache Tomcat 6 ниже 6.0.10 при использовании совместно с apache модулями mod_proxy, mod_rewrite или mod_jk подвержен уязвимости (http://www.securiteam.com/unixfocus/5JP0E1FKUK.html) поволяющей перейти к содержимому вышестоящей директории путем указания в пути конструкции "/\../". | |
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
| Оглавление |
|
| Сообщения по теме | [Сортировка по времени, UBB] |
| 1. "Выход за пределы текущей директории в Apache Tomcat" | |
| Сообщение от MegareeZ on 16-Мрт-07, 20:04 | |
Ннезаю про что это вы тут чистой вожы провокация у меня указан docbase в <Context>; manager в tomcat-users.xml не включен и нефига нет такого бага Tomcat 5.5.17 Fedora Core 5 rpm | |
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
| 2. "Выход за пределы текущей директории в Apache Tomcat" | |
Сообщение от dev  (??) on 18-Мрт-07, 14:55 | |
Тут речь о том, что, к примеру, у нас есть (как в дефолтной инсталляции) каталог webapps, в нем jsp-examples и servlets-examples. Причем обращение с фронт-энда к Томкету идет по протоколу jk (обычная ситуация). Пусть мы закрыли по каким-то своим соображениям доступ к servlets-examples на фронт-энде. Тогда при обращении по хитрому УРЛу http://host/jsp-examples/\../servlets-examples злодеи смогут все равно на него попасть. | |
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
|
Архив | Удалить |
Индекс форумов | Темы | Пред. тема | След. тема |
| Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ] | |
