发布日期：1999-11-23
更新日期：1999-11-23

受影响系统：

Sun Forte Community Edition 1.0 Beta For NT
- Microsoft Windows NT 4.0
Sun Netbeans Developer 3.0 Beta For NT
- Microsoft Windows NT 4.0

描述：

---

在Sun公司的Java开发工具软件包中包含了一个用于测试的http服务器。该服务器可设置成只响应特定IP地址的请求。然而这一机制并没有实现，http服务器会处理任何接收到的请求。而且该http服务器将允许读取文件系统中任何它有读访问权限的文件，甚至根目录下的文件。对于netbeans产品，这是缺省配置——"out of the box"，而对于Forte产品，每一个客户端IP地址都必须手工添加到访问许可列表中。但只要添加一个IP地址后，系统就会响应任何来源的请求。

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http ://victim.com:8082:/

建议：

---

1)在方案设置时，让"Enable" HTTP服务失效。
或者
2) 在Global设置中去掉HTTP服务模块。


浏览次数：7588
严重程度：0（网友投票）