jsp源代码被恶意访问（jsp网站入侵）

本篇文章给大家谈谈jsp源代码被恶意访问，以及jsp网站入侵对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。

本文目录一览：

• 1、网站被恶意访问，是不是中病毒了
• 2、如何在Web项目中保护JSP源代码不被未经授权的访问和窥视？
• 3、使用jsp制作的页面，如何设置不让别人查看源代码？
• 4、jsp有哪些漏洞?
• 5、浏览器无法正常打开jsp文件。

网站被恶意访问，是不是中病毒了

对这个问题具体简单如下:

一丶什么是恶.意.网.站

"恶.意.网.站"用作一个集合名词，指故意在计算机系统上执行恶.意.任务的病毒、蠕虫和特洛伊木马的非.法...网站。这类网站通常都有一个共同特点，他们通常情况下是以某种网页形式可以让人们正常浏览页面内容，同时非法获取电脑里面的的各种数据。

二、恶.意.网.站的来源

网络用户在浏览一些色..情或者其它的非法网站时候，或者从不安全的站点下载游戏或其它程序时，往往会连合恶.意.程序一并带入自己的电脑，而用户本人对此丝毫不知情。直到有恶.意广告不断弹出或色.情.网.站自动出现时，用户才有可能发觉电脑已“中毒”。在恶.意.软件未被发现的这段时间，用户网上的所有.敏.感.资料都有可能被盗走，比如银行.帐.户信息，信.用卡.密.码等。

这些让受害者的电脑不断弹出或者是故意传播恶.意.广.告的网站就叫做恶.意.网.站。它们是不受大家欢迎的。

通过用户访问页面的时间执行网页上的病.毒.代.码非.法获取用户计算机上的各种信.息（包括各种用户名、密.码），电脑一但中毒先把网络断开。这样做，是防止和减少你的电脑数据损失。如果自己不是专业弄电脑的，可以找懂电脑的专业人事帮你杀毒。一定要引起重视。

如何在Web项目中保护JSP源代码不被未经授权的访问和窥视？

LZ你说的这个问题也是现在Java EE系统中的一个安全问题。。。假如你的系统技术架构是以前的纯粹JSP的哈，这个问题就很麻烦，经常会被下载JSP文件。 现在都有很好的MVC框架：比如Struts、Struts2、Taperstry、Webwork等等，他们就很好地解决了文件被下载的问题，他们把所有的请求都要经过服务器端Action的处理，然后跳转，基本所有都会使用请求转发的形式，那么这样我们的URL路径就不会是JSP的绝对位置了。。。客户端的用户也就难于找到你的路径，而且你的项目可以根据你的意愿去后台设置你的JSP的路径。。。

使用jsp制作的页面，如何设置不让别人查看源代码？

internet本来就是共享的，是开放的，无法禁止别人查看源代码，除非你自己开发一个浏览器。 当然，如果有涉密的业务逻辑，都是封装在服务端的，而不会推送到浏览器给用户查看。

jsp有哪些漏洞?

JSP漏洞大观

Apache泄露重写的任意文件漏洞是怎么回事？

在Apache1.2以及以后的版本中存在一个mod_rewrite模块，它用来指定特殊URLS在网络服务器文件系统上所映射的绝对路径。如果传送一个包含正确表达参数的重写规则，攻击者就可以查看目标主机上的任意文件。

下面举例说明重写规则指令（其中第一行只有是包含漏洞的）：

RewriteRule /test/(.*) /usr/local/data/test-stuff/$1

RewriteRule /more-icons/(.*) /icons/$1

RewriteRule /go/(.*)

受影响的系统：

1）Apache 1.3.12

2）Apache 1.3.11win32

3）Apache 1.2.x

不受影响系统：Apache 1.3.13

怎样解决在HTTP请求中添加特殊字符导致暴露JSP源代码文件？

Unify eWave ServletExec 是一个 Java/Java Servlet 引擎插件，主要用于 WEB 服务器，例如：Microsoft IIS, Apache, Netscape Enterprise 服务器等等。

当一个 HTTP 请求中添加下列字符之一，ServletExec 将返回 JSP 源代码文件。

.

%2E

+

%2B

\

%5C

%20

%00

成功的利用该漏洞将导致泄露指定的JSP文件的源代码，例如：使用下面的任意一个URL请求将输出指定的JSP文件的源代码：

1）.

2）

3）

4）

5）\

6）

7）

8）

受影响的系统：

1）Unify eWave ServletExec 3.0c

2）Sun Solaris 8.0

3）Microsoft Windows 98

4）Microsoft Windows NT 4.0

5）Microsoft Windows NT 2000

6）Linux kernel 2.3.x

7）IBM AIX 4.3.2

8）HP HP-UX 11.4

解决方案：

如果没有使用任何静态页面或图像，可以配置一个默认的 servlet，并将"/"映射到这个默认的 servlet。这样当收到一个未映射到某个 servlet 的 URL 时，这个默认的servlet 就会被调用。在这种情况下，默认的 servlet 可以仅仅返回"未找到文件"。如果使用了静态的页面或图像，仍然可以作这样的配置，但是需要让这个默认的servlet 处理对合法的静态页面和图像的请求。

另一种可能就是将*.jsp+、*.jsp.和*.jsp\等映射到一个 servlet，而该servlet只是返回"未找到文件"。对于*.jsp%00和*.jsp%20这样的情况，映射应以未经编码的形式输入。例如，对于*.jsp%20的映射应输入"*.jsp "。注意%20被转换成一个空格字符。

Tomcat有哪些漏洞？

Tomcat 3.1 存在暴露网站路径问题

Tomcat 3.1 是在 Apache 软件环境下开发的一个支持 JSP 1.1 和 Servlets 2.2 的软件。它存在一个安全问题当发送一个不存在的 jsp 请求时会暴露网站上网页的全路径。

举例：

结果显示：

Error: 404

Location: /anything.jsp

JSP file "/appsrv2/jakarta-tomcat/webapps/ROOT/anything.jsp" not found

解决方案：升级到新版本

Tomcat 暴露JSP文件内容

Java Server Pages (JSP)类型的文件是以'.jsp'扩展名在Tomcat 上注册，Tomcat 是文件名大小写敏感的，'.jsp'和'.JSP'是不同类型的文件扩展名。如果提交有'.JSP'的链接给Tomcat,而Tomcat找不到'.JSP'就会以默认的'.text'文件类型来响应请求。因为在NT系统中大小写文件名是非敏感的，所以被请求的文件会以文本的形式送出。

如果在UNIX服务器上会出现"file not found"的错误信息。

如何在windows下对Tomcat实施代码保护

Tomcat的一些版本有泄露源代码的漏洞，如果在浏览器中调用JSP页面时将该文件的后缀改成大写，这个JSP文件的源代码将完全输出到浏览器中（也许浏览器窗口中什么都没有，这时你只需查看HTML源文件就可以发现）。如此一来，网站的源代码是不是都会暴露在互联网上那？

不用担心，解决方法很简单，把各种后缀的组合全部写到Tomcat_Home\conf \web.xml里就可以了，这样Tomcat会将不同后缀名的JSP分开对待，就不会泄露代码了。

jsp

*.jsp

jsP

*.jsP

?lt;servlet-name jSp

*.jSp

jSP

*.jSP

Jsp

*.Jsp

JsP

*.JsP

JSp

*.JSp

JSP

*.JSP

Allair Jrun漏洞有哪些漏洞？

Allair JRUN 非法读取 WEB-INF 漏洞

在Allaire 的 JRUN 服务器 2.3版本中存在一个严重的安全漏洞。它允许一个攻击者在 JRun 3.0 服务器中查看 WEB-INF 目录。

如果用户在提交 URL 请求时在，通过附加一个"/"使该 URL 成为畸形的 URL，这时 WEB-INF 下的所有子目录将会暴露出来。攻击者巧妙的利用该漏洞将能够远程获得目标主机系统中 WEB-INF 目录下的所有文件的读取权限。

例如使用下面这个 URL 将会暴露 WEB-INF 下的所有文件：

受影响的系统：Allaire JRun 3.0

解决方案：下载并安装补丁：

Allaire patch jr233p_ASB00_28_29

Windows 95/98/NT/2000 and Windows NT Alpha

Allaire patch jr233p_ASB00_28_29tar

UNIX/Linux patch - GNU gzip/tar

Allaire JRUN 2.3 查看任意文件漏洞

Allaire 的 JRUN 服务器 2.3上存在多重显示代码漏洞。该漏洞允许攻击者在 WEB 服务器上查看根目录下的任意文件的源代码。

JRun 2.3 使用 Java Servlets 解析各种各样类型的页面（例如：HTML, JSP等等）。基于rules.properties 和 servlets.properties 的文件设置，可能利用URL前缀"/servlet/"调用任何servlet。

它可能使用 Jrun 的 SSIFilter servlet 在目标系统上检索任意的文件。下列 2 个例子显示出能被用来检索任意的文件的 URLs ：

est.jsp

. ./../../../../winnt/repair/sam

注意：假设JRun在主机" jrun "上运行，端口8000。

受影响的系统：Allaire JRun 2.3.x

解决方案：下载并安装补丁：

Allaire patch jr233p_ASB00_28_29

Windows 95/98/NT/2000 and Windows NT Alpha

Allaire patch jr233p_ASB00_28_29tar

UNIX/Linux patch - GNU gzip/tar Allaire JRUN 2.3远程执行任意命令漏洞

Allaire 的 JRUN 服务器 2.3上存在一个安全漏洞，允许远程用户把在 WEB 服务器上的任意文件作为JSP代码编译/执行。 如果URL请求的目标文件使用了前缀"/servlet/"，则JSP解释执行功能被激活。这时在用户请求的目标文件路径中使用"../"，就有可能访问到 WEB 服务器上根目录以外的文件。在目标主机上利用该漏洞请求用户输入产生的一个文件，将严重威胁到目标主机系统的安全。

例如：

/temp.txt

受影响的系统：Allaire JRun 2.3.x

解决方案：下载并安装补丁：

Allaire patch jr233p_ASB00_28_29

Windows 95/98/NT/2000 and Windows NT Alpha

Allaire patch jr233p_ASB00_28_29tar

UNIX/Linux patch - GNU gzip/tar

JRun 2.3.x 范例文件暴露站点安全信息

JRun 2.3.x 在 JRUN_HOME/servlets 目录下有一些 servlet 范例文件，这个目录是 JRun 2.3.x 用于加载和执行 servlets 文件。所有扩展名为 ".Java" 或 "class" 的文件必须被删除，这是因为这些文件会暴露站点的安全信息。例如：

会暴露当前服务器保持的HTTP连接信息。JRUN_HOME/jsm-default/services/jws/htdocs 目录下的内容也应被删除掉。这个目录保存有演示服务器功能的 '.jsp' 文件，其中一些文件牵涉到访问服务器文件系统和暴露服务器设置的问题。例如对文件 "viewsource.jsp" 的路径检查是默认关闭的，它可被用于访问服务器文件系统。

解决方案：

1）安装 2.3.3 service pack

2）从服务器上删除所有的说明文档、演示编码、范例和教材，包括安装 JRun 2.3.x 时存放于 JRUN_HOME/servlets 目录和JRUN_HOME/jsm-default/services/jws/htdocs 目录里的文档。

相关站点：

IBM WebSphere Application Server有哪些漏洞？

1、IBM WebSphere Application Server 3.0.2 存在暴露源代码漏洞

IBM WebSphere Application Server 允许攻击者查看 Web server 根目录以上的所有文件。IBM WebSphere 使用 Java Servlets 处理多种页面类型的分析(如 HTML, JSP, JHTML, 等等)。In addition 不同的 servlets 对不同的页面进行处理，如果一个请求的文件是未进行注册管理的，WebSphere 会使用一个默认的 servlet 作调用。如果文件路径以"/servlet/file/"作开头这个默认的 servlet 会被调用这个请求的文件会未被分析或编译就显示出来。

受影响系统：IBM WebSphere 3.0.2 的所有版本

举例：

如果一个请求文件的 URL 为 "login.jsp":： 那么访问 将看到这个文件的源代码。

解决方案：下载并安装补丁

相关站点：

IBM WebSphere Application Server 暴露JSP文件内容

Java Server Pages (JSP)类型的文件是以'.jsp'扩展名在WebSphere Application Serve 上注册，WebSphere 是文件名大小写敏感的，'.jsp'和'.JSP'是不同类型的文件扩展名。如果提交有'.JSP'的链接给WebSphere,而WebSphere找不到'.JSP'就会以默认的'.text'文件类型来响应请求。因为在NT系统中大小写文件名是非敏感的，所以被请求的文件会以文本的形式送出。

如果在UNIX服务器上会出现"file not found"的错误信息。

解决方案：点击此处下载补丁

相关站点：

BEA WebLogic有哪些暴露源代码漏洞？

受影响版本：

所有系统上的

BEA WebLogic Enterprise 5.1.x

BEA WebLogic Server and Express 5.1.x

BEA WebLogic Server and Express 4.5.x

BEA WebLogic Server and Express 4.0.x

BEA WebLogic Server and Express 3.1.8

这个漏洞使攻击者能读取 Web 目录下所有文件的源代码。

WebLogic 依赖四个主要 Java Servlets to 服务不同类型的文件。这些 servlets 是：

1）FileServlet - for 简单 HTML 页面

2）SSIServlet - for Server Side Includes 页面

3）PageCompileServlet - for JHTML 页面

4）JSPServlet - for Java Server 页面

看着weblogic.properties 文件, 这儿是各个 servlets 的注册值：

1）weblogic.httpd.register.file=weblogic.servlet.FileServlet

2）weblogic.httpd.register.*.shtml=weblogic.servlet.ServerSideIncludeServlet

3）weblogic.httpd.register.*.jhtml=weblogic.servlet.jhtmlc.PageCompileServlet

4）weblogic.httpd.register.*.jsp=weblogic.servlet.JSPServlet

更多的 weblogic.properties 文件, 如果一个请求文件是没有注册管理的，那么就会调用一个默认的 servlet 。以下是展示默认的 servlet 是如何注册的。

# Default servlet registration

# ------------------------------------------------

# Virtual name of the default servlet if no matching servlet

# is found weblogic.httpd.defaultServlet=file

因此如果 URL 中的文件路径开头为 "/file/" , 将会引致 WebLogic 调用默认的 servlet, 那将会使网页未加分析和编译而直接显示。

论证：

只要在想看的文件原来的 URL 路径之前加入 "/file/" 就会让文件未经分析和编译，直接暴露源代码。如： ，那么只要访问 就会在 WEB 浏览器里看到文件的内容。

以下是使用方法:

1. 通过强制使用 SSIServlet 查看未分析的页面 :

服务器站点通过 WebLogic 中的 SSIServlet 处理页面，它在weblogic.properties 文件中注册以下信息：weblogic.httpd.register.*.shtml= weblogic.servlet.ServerSideIncludeServlet

通过 URL 使用 SSIServlet 自动处理通配符 （*） 。因此 如果文件路径开头为 /*.shtml/，将强制文件由 SSIServlet 处理。如果使用其它文件类型如 .jsp 和 .jhtml, 就能查看未分析的 jsp 和 jhtml 代码。举例：*.shtml/login.jsp

2. 通过强制使用 FileServlet 查看未分析的页面 :

WebLogic 使用 FileServlet 配置 ConsoleHelp servlet ，在weblogic.properties 文件的以下内容可得知:

# For Console help. Do not modify.

weblogic.httpd.register.ConsoleHelp= weblogic.servlet.FileServlet

weblogic.httpd.initArgs.ConsoleHelp=\defaultFilename=/weblogic/admin/help/NoContent.html

weblogic.allow.execute.weblogic.servlet.ConsoleHelp=everyone

因此如果文件路径以 /ConsoleHelp/ 开头将导致 WebLogic 使用 FileServlet，使未分析或编译的文件作页面显示出来，举例：

解决方案：

不要使用示例中的设置方法设置 FileServlet 。这可能会让你的 JSP/JHTML 文件的源代码暴露出来。请查看在线文档:

示例的 registrations 如下：

weblogic.httpd.register.file=weblogic.servlet.FileServlet

weblogic.httpd.initArgs.file=defaultFilename=index.html

weblogic.httpd.defaultServlet=file

有两种方法可以避免这个问题：

（1）注册那些文件 servlet 使用随机用户名，加大猜测难度。例如使用象这样注册文件 servlet 为 12foo34：

weblogic.httpd.register.12foo34=weblogic.servlet.FileServlet

weblogic.httpd.initArgs.12foo34=defaultFilename=index.html

weblogic.httpd.defaultServlet=12foo34

（2）注册文件 servlet 使用 wild cards 声明你将使用所有这些文件扩展名作服务。举例注册文件 servlet 为 .html 文件服务：

weblogic.httpd.register.*.html=weblogic.servlet.FileServlet

weblogic.httpd.initArgs.*.html=defaultFilename=index.html

weblogic.httpd.defaultServlet=*.html

使用上面的方法重复加入以下类型的文件 *.gif, *.jpg, *.pdf, *.txt, etc.

注意：这些信息是备有证明在 BEA WebLogic Server and Express 说明档的：

另：请留意新版本并升级吧。

浏览器无法正常打开jsp文件。

方法一：文本工具打开文件

找到并打开JSP源文件所在的文件夹。

可以发现，一般情况下.jsp文件是不可识别的，没有任何图标显示；

双击任何.jsp文件，弹出“Windows”对话框，提示“找不到打开此文件”：

在下面的“您希望做什么？”中选择最下面的“从列表中选择程序”单选框，并单击“确定”按钮：

弹出“打开方式”对话框。我们找到并选择“记事本”：

当前，除了选择“记事本”以外，我们也可以选择word、写字板或上面的Adobe Dreamweaver；

选择“打开方式”对话框下面的“始终使用选择的程序打开这种文件”复选框，；

点击“确定”，打开了记事本，并打开显示了这个jsp文件的源代码：

同时，观察jsp所在的文件夹，发现所有.jsp文件图标都显示为记事本的图标了：

这样的话就说明.jsp文件已经和记事本关联了，以后直接双击任意的.jsp文件是都会自动的直接用记事本打开JSP文件。

方法二 用浏览器查看jsp执行结果

如果用记事本打开不是你要的结果，如果配置的JSP环境,则可以用浏览器打开JSP文件查看JSP程序的执行结果，当然，前提是这个JSP文件不是服务器执行的程序。

先打开IE浏览器：

再找到并打开JSP源文件所在的文件夹：

鼠标左键选中并按住jsp文件不放，拖动到浏览器窗口并释放鼠标左键：

浏览器中显示出了这个jsp程序的执行结果：

而如果不能用拖动的方式在浏览器中打开JSP文件,则需要在地址栏中通过网址打开。

jsp源代码被恶意访问的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于jsp网站入侵、jsp源代码被恶意访问的信息别忘了在本站进行查找喔。