2014源代码泄漏而引起的安全性.docVIP

摘要：在JSP技术得到广泛应用的同时，由于源代码泄漏而引起的JSP安全性也受到了广泛的关注。本文分析了几种造成源代码泄漏的因素，并针对每种因素提出了各自的解决方法。 关键词：JSP 源代码 泄漏 引言 JSP编程语言自从推出之日起，由于它的快速、平台无关、可扩展、面向对象等特性得到了越来越广泛的应用，越来越多的厂家开发出了各种各样的支持平台如IBM 公司的WebSphere、BEA公司的WebLogic等等，也有越来越多的网站开始将自己的平台架构在JSP 环境中。 　 但是随之而来的就是一系列的安全问题，如源代码暴露漏洞、远程任意命令执行漏洞等等，一些用JSP做的网站，由于存在各种各样的漏洞，可以被黑客轻松的下载程序的源代码，对网站的安全构成威胁。 造成JSP源代码暴露的原因 服务器漏洞是安全问题的起源，黑客对网站的攻击也大多是从查找对方的漏洞开始的。所以只有了解自身的漏洞，网站管理人员才能采取相应的对策，阻止外来的攻击。 虽然JSP也是一种web编程语言，但是它和其它的web编程语言如PHP、ASP的工作机制是不一样的。 首次调用JSP文件其实是执行一个编译为Servlet的过程。试图下载JSP源代码的人（比如黑客）往往利用JSP的各种漏洞，让JSP文件在编译前被浏览器当作一个文本或其它文件发送给客户端，或在JSP装载的时候不去执行编译好的Servlet而直接读JSP的内容并发送给客户端，从而让源代码一览无余。 JSP源代码泄漏的几种类型 源代码暴露类别主要指的是程序源代码会以明文的方式返回给访问者. 　　我们知道不管是JSP还是ASP、PHP等动态程序都是在服务器端执行的，执行后只会返回给访问者标准的html 等代码。这是理论上的东西，实际运行起来由于服务器内部机制的问题就有可能引起源代码暴露的漏洞，简单的例子是只要在程序文件名后加几个简单的字符就可能获得程序代码，如常见微软ASP 的global.asa+.htr、XXXX.asp%81等等漏洞。 3.1 添加特殊后缀引起JSP源代码暴露 　　在JSP中也存在着和asp这些漏洞类似的问题，如IBM Websphere Application Server 3.0.21、BEA Systems Weblogic 4.5.1、Tomcat3.1等JSP文件后缀大写漏洞;JSP 文件后加特殊字符如Resin1.2的%82、../漏洞；ServletExec的%2E、+漏洞、%2E、+、%2B、\ 、%5C、%20、%00 等。 　　黑客如果利用该漏洞，将导致泄露指定的JSP文件的源代码。例一：使用下面的任意一个URL请求将输出指定的JSP文件的源代码： 1）http://target/directory/jsp/file.jsp. 　　2）http://target/directory/jsp/file.jsp%2E 　　3）http://target/directory/jsp/file.jsp+ 　　4）http://target/directory/jsp/file.jsp%2B 　　5）http://target/directory/jsp/file.jsp\ 　　6）http://target/directory/jsp/file.jsp%5C 　　7）http://target/directory/jsp/file.jsp%20 　　8）http://target/directory/jsp/file.jsp%00 等等。 　　例二，在Tomcat3.1下，在浏览器中本来可以正常解释执行的是http://localhost:8080/inde.jsp，但是如果将inde.jsp改为inde.JSP或者inde.Jsp等等试试看，你会发现浏览器会提示你下载这个文件，下载后源代码可以看个一干二净。 　　原因是JSP是大小写敏感的，Tomcat只会将小写的JSP后缀的文件当作是正常的JSP文件来执行，如果大写了就会引起Tomcat将inde.JSP当作是一个可以下载的文件让客户下载。老版本的WebLogic、WebShpere等都存在这个问题，现在这些公司或者发布了新版本或者发布了补丁解决了这问题。 3.1.1 解决办法 解决这种由于添加后缀引起的源代码泄漏有两种方法，一种方法是在服务器软件的网站上下载补丁；另外一种方法是在服务器设置中添加一些映射如.JSP 、.Jsp、.jsp%2E等，将他们映射到一个自己写的servlet，这个Servlet的唯一功能就是将请求导向一个自定义的类似404 not found的出错页面，不同的服务器设置的地方也不同。 如果没有使用任何静态页面或图像，可以配置一个默认的 servle