OpenCms国内成功案例： 1、 武汉国家税务局：http://www.whgs.gov.cn/cms/index.jsp 2、 云南省商务厅：http://www.bofcom.gov.cn 3、 国家电力监管委员会：http://www.serc.gov.cn 4、 湖北广安科信息系统工程有限责任公司：http://www.ganko.com.cn 5、 长春市朝阳区人民政府：http://www.ccchaoyang.gov.cn 6、 OpenCms中文网站 http://www.opencms.cn 7、 金榜教育网 http://www.jbjy.cn/ 8、 武汉优信光通信设备有限责任公司 http://www.unicell.cn 9、 北京电力信息报送系统 10、 北京海淀区体育局 h

SUN 的新版J2EE1.4提供了在J2EE中开发Web Service的基础，对开发工具做了一些重要的增强，在应用程序部署和服务器管理方面也提供了新的标准，在集成性和安全性方面有所增强，提升了J2EE 开发Web应用程序的能力；在编程模型方面的重要变化包括JSP表达式语言、简化的标记库等；EJB 2.1中提供了新的timer服务，查询语言（QL）也有所增强；Jdbc3.0 API把通常的Jdbc API与扩充API结合起来；J2EE Connectors规范和独立于消息类型的EJB提供了对双向通信的支持。下面给大家重点介绍J2EE1.4中包含的JSP2.0、 Servlet2.4、Jdbc3

近日，JSP 2.1技术规范通过了JCP执委会决议投票。JSP 2.1（JSR-245，http://jcp.org/en/jsr/detail?id=245）技术规范的公开审查版本近日通过了JCP执委会的决议投票，其中Oracle、Nortel和Google三家执委会成员投出弃权票，其他成员都投出了赞成票。JSP 2.1主要针对JSP表达式语言（EL）以及与JSF的整合进行了改进。重要的新特性包括修改表达式语言、修改标签库、允许插入其他表达式语言、增加trimWhiteSpaces指令等。JSP 2.1将构建在J2SE 1.5的基础之上。全文请看：http://www.theserverside.com/news/thread.tss?thre

J2EE的两种重要的表现层技术JSP和JSF发布了新技术规范的预览版本，其中最重要的一点是两者将表达式语言（Expression Language，EL）部分合二为一。在不久的将来，这两种技术有可能更进一步地彼此融合，成为一种统一的表现层技术。然而在J2EE社群的普遍观点中，如果单单作为一种视图技术，JSP并不是最佳的选择，Velocity和XSLT等基于模板的视图技术通常比JSP更方便；而基于组件的JSF也面临广泛的信任危机。两者的组合是否能得到业界的认可，还需要时间的检验。以下是官方公告 我们很高兴向大家宣告，JavaServer

随着Web技术的发展和电子商务时代的到来，人们不再满足于建立各种静态地发布信息的网站，更多的时候需要能与用户进行交互，并能提供后台数据库的管理和控制等服务的动态网站。 动态网站开发技术 早期的动态网站开发技术使用的是CGI－BIN接口。开发人员编写与接口相关的单独的程序和基于Web的应用程序，后者通过Web服务器来调用前者。这种开发技术存在着严重的扩展性问题——每一个新的CGI程序要求在服务器上新增一个进程。如果多个用户并发地访问该程序，这些进程将耗尽该Web服务器所有的可用资源，直至其崩溃。 为克

一般来说,我们把正在计算机中执行的程序叫做"进程"(Process) ,而不将其 称为程序(Program)。所谓"线程"(Thread),是"进程"中某个单一顺序的控制流。 新兴的操作系统,如Mac,Windows NT,Windows 95等,大多采用多线程的概念,把线 程视为基本执行单位。线程也是Java中的相当重要的组成部分之一。 　　甚至最简单的Applet也是由多个线程来完成的。在Java中,任何一个Applet的 paint()和update()方法都是由AWT(Abstract Window Toolkit)绘图与事件处理线 程调用的,而Applet 主要的里程碑方法——init(),start(),stop()和desto

JRun常见问题回答 什么是并发（Concurrency）？ 并发指JRun在同一时间运行多个servlet的能力。JRun通过运用Java内建的多线程能力支持并发。多任务或多处理（Multi-tasking or Multi-processing）是并发的其他说法。该功能赋予JRun可以同时负载多个用户的并发请求。 我需要什么程度的并发处理功能？ 这取决于你准备支持多少个Web用户，JRun支持多大的流量以及Web服务器的速度。JRun带有一个监控功能帮助你估算出负载的量。 JRun的免费版可以支持什么程度的并发？ 最多同时5个请求。 JRun Pro支持什么程度的并发？ 无限

Jsp是sun在servlet基础上发展而来的一种新的web开发工具，在国外Ejb+jsp/servlet+应用服务器+数 据库已经已经成为电子商务站点的流行架构。tomcat3.1实现了最新的servlet2.2和jsp1.1标准，sun也 是推荐使用tomcat,本文介绍tomcat3.1在RedHat下的安装。 在java.sun.com取得jdk1_2_2-linux-i386.tar.gz 在http://jakarta.apache.org/builds/tomcat/release/v3.1/bin/取得jakarta-tomcat.tar.gz, 在http://jakarta.apache.org/builds/tomcat/release/v3.1/bin/linux/i386/取得mod_jserv.so 1、安装jdk1.2.2 #cp jd

JSP多种web应用服务器导致JSP源码泄漏漏洞 作者：中联绿盟 汉化：不详 整理：JSPER 受影响的系统: BEA Systems Weblogic 4.5.1 - Microsoft Windows NT 4.0 BEA Systems Weblogic 4.0.4 - Microsoft Windows NT 4.0 BEA Systems Weblogic 3.1.8 - Microsoft Windows NT 4.0 IBM Websphere Application Server 3.0.21 - Sun Solaris 8.0 - Microsoft Windows NT 4.0 - Linux kernel 2.3.x - IBM AIX 4.3 Unify eWave ServletExec 3.0 - Sun Solaris 8.0 - Microsoft Windows 98 - Microsoft Windows NT 4.0 - Microsof

（作者：小龙亭主Blueski编译　2000年12月22日 14:22）　　（续上篇） 　　问题 #3: 简单工作仍然很累人 　　即使是很简单的工作，例如包含 header和 footer，在JSP中仍然很困难。假设有一个"header"和一个"footer"模板要包含到所有页面，而每一个模板要在content中包含当前的页标题。 　　在JSP中最佳办法是： 　　 　　 　　...你的页面内容... 　　 　　页面设计者要记住不能遗漏第一行的分号并要将title定义为一个字符串。此外，/header.jsp和/footer.jsp必须在根目录下并且必须是可存取的完整文件。 　　在WebMa

（作者：小龙亭主Blueski编译　2000年12月22日 14:22）　　（编者：这篇文章的原文首次在国外出现时，JSP还只是一种刚刚崭露头角的技术，并没有像现在这样如日中天。现在看来这篇文章的某些观点可能会有一定的局限性，但我不得不承认这是一篇很大气的作品，其中涉及很多JSP的内在原理。因此，我想还是有必要把这篇文章介绍给大家，以便各位从另一个侧面更深入的了解JSP技术。） 　　如今每一个使用servlets的开发者都知道JSP，一种建构在servlet技术之上的由Sun公司发明并花费大量精力加以推行的web技术。JSP将servle

使用定制化的标签 　　尽管你可以在JSP页面中植入Java代码并在服务器方执行，但是，JSP也支持使用定制标签来插入动态内容，它有一种机制可以让你在JSP页面中插入你自己的、与HTML类似的标签。换句话说，你的JSP网页能够使用插入Java代码的简单标签语法产生动态的内容。但定制标签的用处不是很大。 　　创建一个定制标签比在JSP网页中使用简单的scriptlet要复杂得多，因为定制标签需要用几个步骤来把你的Java组件和JSP代码连接起来。不过，定制标签在分发和重复使用的时候就非常简单了。对定制标签的支持将在JSP创建工

（作者：天译编译　2000年12月01日 14:26）JavaServerTM Pages(JSP)技术为我们提供了一种建立动态网页的简单方法，而且也简化了构造web程序的工作。本文从一个开发人员的角度对JSP技术做了一个全面介绍（并提供了一些JSP实例程序）。 前言 JavaServer Pages技术可以让web开发人员和设计人员非常容易的创建和维护动态网页，特别是目前的商业系统。作为JavaTM技术的一部分，JSP能够快速开发出基于web、独立于平台的应用程序。JSP 把用户界面从系统内容中分离开来，使得设计人员能够在不改变底层动态内容的前提下改变整个

bugtraq id 1328 class Design Error cve CVE-2000-0499 remote Yes local Yes published June 08, 2000 updated November 10, 2000 vulnerable BEA Systems Weblogic 4.5.1- Microsoft Windows NT 4.0BEA Systems Weblogic 4.0.4- Microsoft Windows NT 4.0BEA Systems Weblogic 3.1.8- Microsoft Windows NT 4.0IBM Websphere Application Server 3.0.21- Sun Solaris 8.0- Microsoft Windows NT 4.0- Linux kernel 2.3.x- IBM AIX 4.3Unify eWave ServletExec 3.0- Sun Solaris 8.0- Microsoft Windows 98- Micros

Tomcat 暴露JSP文件内容涉及程序： Tomcat详细： Java Server Pages (JSP)类型的文件是以'.jsp'扩展名在Tomcat 上注册，Tomcat 是文件名大小写敏感的，'.jsp'和'.JSP'是不同类型的文件扩展名。如果提交有'.JSP'的链接给Tomcat,而Tomcat找不到'.JSP'就会以默认的'.text'文件类型来响应请求。因为在NT系统中大小写文件名是非敏感的，所以被请求的文件会以文本的形式送出。如果在UNIX服务器上会出现"file not found"的错误信息。

涉及程序： IBM WebSphere Application Server 3.0.2及更低版本 描述： IBM WebSphere Application Server 暴露JSP文件内容 详细： Java Server Pages (JSP)类型的文件是以'.jsp'扩展名在WebSphere Application Serve 上注册，WebSphere 是文件名大小写敏感的，'.jsp'和'.JSP'是不同类型的文件扩展名。如果提交有'.JSP'的链接给WebSphere,而WebSphere找不到'.JSP'就会以默认的'.text'文件类型来响应请求。因为在NT系统中大小写文件名是非敏感的，所以被请求的文件会以文本的形式送出。如果在UNIX服务器上会出现"file

涉及程序： JRun 2.3.x 描述： JRun 2.3.x 范例文件暴露站点安全信息 详细： JRun 2.3.x 在 JRUN_HOME/servlets 目录下有一些 servlet 范例文件，这个目录是 JRun 2.3.x 用于加载和执行 servlets 文件。所有扩展名为 ".java" 或 "class" 的文件必须被删除，这是因为这些文件会暴露站点的安全信息。例如：http://www.xxx.xxx/servlet/SessionServlet 会暴露当前服务器保持的HTTP连接信息。JRUN_HOME/jsm-default/services/jws/htdocs 目录下的内容也应被删除掉。这个目录保存有演示服务器功能的 '.jsp' 文件，其中一些

涉及程序： BEA WebLogic Server and Express 5.1.x/4.5x/4.0x/3.1.8 描述： BEA WebLogic 暴露源代码漏洞 详细： 受影响版本所有系统上的BEA WebLogic Enterprise 5.1.x BEA WebLogic Server and Express 5.1.x BEA WebLogic Server and Express 4.5.x BEA WebLogic Server and Express 4.0.x BEA WebLogic Server and Express 3.1.8 这个漏洞使攻击者能读取 Web 目录下所有文件的源代码。WebLogic 依赖四个主要 Java Servlets to 服务不同类型的文件。这些 servlets 是： FileServlet - for 简单 HTML 页面 SSIServ

涉及程序： IBM WebSphere Application Server 3.0.2 描述： IBM WebSphere Application Server 3.0.2 存在暴露源代码漏洞 详细： IBM WebSphere Application Server 允许攻击者查看 Web server 根目录以上的所有文件。IBM WebSphere 使用 Java Servlets 处理多种页面类型的分析(如 HTML, JSP, JHTML, 等等)。In addition 不同的 servlets 对不同的页面进行处理，如果一个请求的文件是未进行注册管理的，WebSphere 会使用一个默认的 servlet 作调用。如果文件路径以"/servlet/file/"作开头这个默认的 servlet 会被调用

涉及程序： Tomcat 3.1 描述： Tomcat 3.1 存在暴露网站路径问题 详细： Tomcat 3.1 是在 Apache 软件环境下开发的一个支持 JSP 1.1 和 Servlets 2.2 的软件。它存在一个安全问题当发送一个不存在的 jsp 请求时会暴露网站上网页的全路径:举例:http://narco.guerrilla.sucks.co:8080/anything.jsp结果显示:Error: 404 Location: /anything.jsp JSP file "/appsrv2/jakarta-tomcat/webapps/ROOT/anything.jsp" not found 解决方案： 升级到新版本

涉及程序： Solaris and Windows NT 描述： Sun Java Web Server 能让攻击者远程执行任意命令 详细： Sun 的 Java Web 服务器存在多个安全问题，允许攻击者远程以 web 服务器权限执行命令。它的 Web 管理模块监听 9090 端口，通过 http 处理管理命令。"com.sun.server.http.pagecompile.jsp92.JspServlet" servlet用来编译并执行JSP文件的，通过增加"/servlet/"前缀，远程用户可以使用这个servlet来编译并执行管理目录下的任意JSP文件。这个服务器缺省带了一个留言版的演示程序，它允许用户通过http://jws.site:9090/

涉及程序： Netscape 4.0-4.74 描述： Netscape 修复 JAVA 安全漏洞 详细： Netscape JAVA 安全漏洞补丁--------------------------------------------------------------------------------Netscape 4.0 至 4.74 版本, 存在一个安全漏洞，通过利用 JAVA 虚拟机允许攻击者远程访问本地文件。关于这个漏洞的更多信息可以访问Brown Orifice,the new multi-platform remote management tool and Trojan受影响系统:Red Hat Linux 6.2Red Hat Linux 6.1Red Hat Linux 6.0Conectiva 4.0Conectiva 4.0esConectiva 4.1Conecti

涉及程序： mod_rewrite 描述： Apache泄露重写的任意文件漏洞 详细： 在Apache1.2以及以后的版本中存在一个mod_rewrite模块，它用来指定特殊URLS在网络服务器文件系统上所映射的绝对路径。如果传送一个包含正确表达参数的重写规则，攻击者就可以查看目标主机上的任意文件。下面举例说明重写规则指令（其中第一行只有是包含漏洞的）：RewriteRule /test/(.*) /usr/local/data/test-stuff/$1RewriteRule /more-icons/(.*) /icons/$1RewriteRule /go/(.*) http://www.apacheweek.com/$1受影响的系统: Apache 1.3.12Apac

涉及程序： JRUN 描述： Allaire JRUN 2.3远程执行任意命令漏洞 详细： Allaire 的 JRUN 服务器 2.3上存在一个安全漏洞，允许远程用户把在 WEB 服务器上的任意文件作为JSP代码编译/执行。如果URL请求的目标文件使用了前缀"/servlet/"，则JSP解释执行功能被激活。这时在用户请求的目标文件路径中使用"../"，就有可能访问到 WEB 服务器上根目录以外的文件。在目标主机上利用该漏洞请求用户输入产生的一个文件，将严重威胁到目标主机系统的安全。例如：http://jrun:8000/servlet/com.livesoftware.jrun.plugins.jsp.JSP/

涉及程序： JRUN 描述： Allair JRUN 非法读取 WEB-INF 漏洞 详细： 在Allaire 的 JRUN 服务器 2.3版本中存在一个严重的安全漏洞。它允许一个攻击者在 JRun 3.0 服务器中查看 WEB-INF 目录。如果用户在提交 URL 请求时在，通过附加一个"/"使该 URL 成为畸形的 URL，这时 WEB-INF 下的所有子目录将会暴露出来。攻击者巧妙的利用该漏洞将能够远程获得目标主机系统中 WEB-INF 目录下的所有文件的读取权限。例如使用下面这个 URL 将会暴露 WEB-INF 下的所有文件：http://site.running.jrun:8100//WEB-INF/ 受影响的系统

涉及程序： JRUN 描述： Allaire JRUN 2.3 查看任意文件漏洞 详细： Allaire 的 JRUN 服务器 2.3上存在多重显示代码漏洞。该漏洞允许攻击者在 WEB 服务器上查看根目录下的任意文件的源代码。JRun 2.3 使用 Java Servlets 解析各种各样类型的页面（例如：HTML, JSP等等）。基于rules.properties 和 servlets.properties 的文件设置，可能利用URL前缀"/servlet/"调用任何servlet。它可能使用 Jrun 的 SSIFilter servlet 在目标系统上检索任意的文件。下列 2 个例子显示出能被用来检索任意的文件的 URLs ： http://jrun:

bugtraq id 1500 class Access Validation Error cve GENERIC-MAP-NOMATCH remote Yes local Yes published July 24, 2000 updated July 24, 2000 vulnerable IBM Websphere Application Server 3.0.21- Sun Solaris 8.0- Microsoft Windows NT 4.0- Linux kernel 2.3.x- IBM AIX 4.3IBM Websphere Application Server 3.0- Sun Solaris 8.0- Novell Netware 5.0- Microsoft Windows NT 4.0- Linux kernel 2.3.x- IBM AIX 4.3IBM Websphere Application Server 2.0- Sun Solaris 8.0- Novell Netware 5.0- Microsoft

· Lovehacker·yesky　　其实我相信还有几种办法可以暴露JSP代码的,不过具我的大量测试,这和WEB SERVER的配置有绝对的关系,就那我自己装的IBM Websphere Commerce Suite而言,还有别的方法看到JSP源代码,但我相信是因为IBM HTTP SERVER的配置造成的. 　　如果你也想和我一样去发现JSP暴露源代码的BUG的话,首先你需要了解JSP的工作原理,值得庆幸的是我已经帮你做了这一切! 　　jsp和其它的php,asp工作机制不一样,虽然它也是一种web编程语言。首次调用JSP文件其实是执行一个编译为Servlet的过程。注意----->我们就要在这

涉及程序： iPlanet 描述： iPlanet Web Server 缓冲区溢出漏洞 详细： iPlanet Web Server 4.x存在一个缓冲区溢出漏洞。该漏洞允许恶意的用户远程执行任意代码或产生拒绝服务攻击。通过发送一个长度大约为 198-240 字符并以.shtml 作后缀的HTTP请求，将产生缓冲区溢出。该漏洞只有在服务器端打开'parsing' 选项时才被利用。成功地利用这个漏洞恶意的攻击者可以完全控制目标主机。受影响的系统：Sun Solaris 8.0Microsoft Windows NT 4.0Linux kernel 2.3

涉及程序： eWave ServletExec 描述： Unify的eWave ServletExec拒绝服务漏洞 详细： Unify的eWave ServletExec是一个JSP和Java Servlet引擎，它们被用作象Apache、IIS、Netscape等等流行的网络服务器的插件。发送一个URL请求可能引起ServletExec servlet引擎突然终止，但是web服务器不会受到影响。 可以通过在URL前加上servlet路径前缀"/servlet"这样可以强制调用任意的servlet。一个名为"ServletExec"的servlet存在于服务端。强制执行"ServletExec"servlet将导致servlet引擎初始化并试图在80口上绑定一个服务