JWorld@TW the best professional Java site in Taiwan
      註冊 | 登入 | 全文檢索 | 排行榜  

» JWorld@TW » Application Server » Tomcat  

按列印兼容模式列印這個話題 列印話題    把這個話題寄給朋友 寄給朋友   
reply to postflat modego to previous topicgo to next topic
話題被移動
該話題已被移動 - koji , 2008-02-13 09:13
如果您尚不清楚該話題被移動的原因,請參考論壇規則以及本版公告或者聯系本版版主。
本主題所含的標籤
無標籤
作者 Re:[Tomcat]5.5.17有漏洞嗎? [Re:koji]
arthuroy





發文: 106
積分: 3
於 2008-02-14 17:18 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
koji wrote:
他該不會在XXXAction.java用它的property儲存是否可以下載的flag吧...


zesan wrote:
我不大明白,您所講的意思??


帳號驗證是透過 acegi-security。
我覺得系統裡面有「後門」... 伺服器重啟之後,「需要登入才能下載」就恢復正常;這個「需要登入才能下載」的檢查會被關閉,而被關閉的原因是只要某IP上來後,就會被關閉造成其他任何人都可以下載文件;所以 koji 說的這個控制旗標應該是 application-scope attribute 或是 static variable?!

當大家都可以下載文件的情況發生時,若是我尚未登入,進入資源下載頁面 (或是首頁) 時,畫面左上角的那個帳號登入的區塊是正常顯示「輸入帳號密碼」嗎? 還是顯示「會員 xxx 你好」的已登入的字樣?

應該是顯示「輸入帳號密碼」,畢竟用一個新視窗開啟你家的網站,應該是取得一個新的 session id 才對... 所以... 覺得有後門的機率蠻大的....

找一下 struts 的設定檔,看看 action 是怎麼設定的...
1
2
<action path="/materialFile"
        type="your.package.YourClass"


如果是類似上面那樣,那個 type 指定的 class 拿來反組譯一下,大概可以猜出這一段「需要登入」的驗證是怎麼寫的...


arthuroy edited on 2008-02-14 17:53
reply to postreply to post
Self-Pity

I never saw a wild thing sorry for itself.
A small bird will drop frozen dead from a bough
without ever having felt sorry for itself.
話題樹型展開
人氣 標題 作者 字數 發文時間
9076 [精華] [Tomcat]已解決認証問題(因為Cache的問題) zesan 451 2008-02-13 07:09
6340 Re:[Tomcat]5.5.17有漏洞嗎? koji 105 2008-02-13 09:12
5628 Re:[Tomcat]5.5.17有漏洞嗎?《升級後,確定已不是Server的問題》 zesan 188 2008-03-20 10:44
7199 Re:[Tomcat]5.5.17有漏洞嗎? zesan 212 2008-02-13 09:31
6312 Re:[Tomcat]5.5.17有漏洞嗎? koji 127 2008-02-13 09:33
6443 Re:[Tomcat]5.5.17有漏洞嗎? arthuroy 927 2008-02-13 10:21
6248 Re:[Tomcat]5.5.17有漏洞嗎? zesan 201 2008-02-13 13:05
6283 Re:[Tomcat]5.5.17有漏洞嗎? arthuroy 1012 2008-02-13 20:32
6188 Re:[Tomcat]5.5.17有漏洞嗎? koji 60 2008-02-13 22:54
5918 Re:[Tomcat]5.5.17有漏洞嗎? konasJSP 178 2008-02-14 22:41
6094 Re:[Tomcat]5.5.17有漏洞嗎? cactus 37 2008-02-14 11:42
6171 Re:[Tomcat]5.5.17有漏洞嗎? zesan 1191 2008-02-14 15:26
6044 Re:[Tomcat]5.5.17有漏洞嗎? koji 108 2008-02-14 15:57
6038 Re:[Tomcat]5.5.17有漏洞嗎? zesan 85 2008-02-14 16:12
6023 Re:[Tomcat]5.5.17有漏洞嗎? koji 116 2008-02-14 16:14
6045 Re:[Tomcat]5.5.17有漏洞嗎? zesan 253 2008-02-14 16:28
6009 Re:[Tomcat]5.5.17有漏洞嗎? koji 110 2008-02-14 16:31
5987 Re:[Tomcat]5.5.17有漏洞嗎? zesan 307 2008-02-14 16:47
6036 Re:[Tomcat]5.5.17有漏洞嗎? arthuroy 710 2008-02-14 17:18
5969 Re:[Tomcat]5.5.17有漏洞嗎? arthuroy 997 2008-02-14 19:43
6017 Re:[Tomcat]5.5.17有漏洞嗎? arthuroy 293 2008-02-14 16:43
5973 Re:[Tomcat]5.5.17有漏洞嗎? MistyJungle 227 2008-02-14 17:51
6021 Re:[Tomcat]5.5.17有漏洞嗎? arthuroy 374 2008-02-14 16:58
6045 Re:[Tomcat]5.5.17有漏洞嗎? zesan 284 2008-02-14 17:01
6255 Re:[Tomcat]5.5.17有漏洞嗎? dreamltf 71 2008-02-13 13:19
7509 Re:[Tomcat]5.5.17有漏洞嗎? fjj 114 2008-02-13 23:25
5978 Re:[Tomcat]5.5.17有漏洞嗎? dreamltf 29 2008-02-14 18:10
5982 Re:[Tomcat]5.5.17有漏洞嗎? zesan 152 2008-02-14 18:19
5938 Re:[Tomcat]5.5.17有漏洞嗎? koji 200 2008-02-14 18:30
5964 Re:[Tomcat]5.5.17有漏洞嗎? zesan 261 2008-02-14 18:39
5970 Re:[Tomcat]5.5.17有漏洞嗎? linexpmail 183 2008-02-14 19:13
5901 Re:[Tomcat]5.5.17有漏洞嗎? fjj 177 2008-02-15 02:53
5848 Re:[Tomcat]5.5.17有漏洞嗎? zesan 343 2008-02-16 22:44
5744 Re:[Tomcat]5.5.17有漏洞嗎? zesan 48 2008-02-19 13:08
5759 Re:[Tomcat]5.5.17有漏洞嗎? koji 78 2008-02-19 13:21
5769 Re:[Tomcat]5.5.17有漏洞嗎?《升級後,確定已不是Server的問題》 chenmingyen 896 2008-02-21 09:52
» JWorld@TW »  Application Server » Tomcat

reply to postflat modego to previous topicgo to next topic
  已讀文章
  新的文章
  被刪除的文章
Jump to the top of page

JWorld@TW 本站商標資訊

Powered by Powerful JuteForum® Version Jute 1.5.8