jsp网站安全问题
我用了IMB Rational Appscan进行了安全扫描
结果如下:
1.Shell 解释器脚本任意命令执行
测试:
GET /service/bash HTTP/1.0
Cookie: JSESSIONID=1049E96B3913D8EDD431899A6E6E250E
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: 58.246.196.88
Referer: http://58.246.196.88/pages/homepage2.jsp?u=0&e=&userGroups=
HTTP/1.1 500 Internal Server Error
Content-Length: 689
Server: nginx/0.7.67
Date: Wed, 15 Sep 2010 08:54:05 GMT
Content-Type: text/html;charset=UTF-8
Connection: close
Location: http://58.246.196.88/login.jsp
<?xml version="1.0" ?>
标识:6971
描述: 向目录中附加以下字符串:/bash
差异:
以下更改已应用到原始请求:
已将路径设置为“/service/bash”
推理:
测试尝试了在远程服务器上执行 shell 脚本。响应状态 200 OK 表示尝试已成功。响应状态 500 Internal Server Error 也可能表示漏洞,由于 shell 脚本可能需要相应的参数才能成功执行,所以可能是因为缺少这些参数而产生错误。
不知此问题如何解决,望高手指导,谢谢