大量jsp源代码暴露漏洞,请看jsp爱好者的jsp安全专题(http://jspbbs.yeah.net)

其实不把 JSP 当 ASP 来用(不包含业务逻辑),这些漏洞就不会产生太大的影响了!
错误的架构,是最致命的错。

解决方案 »

  1.   

    对啊,好的架构,就算看到jsp源代码也没有用的,因为绝大部分代码都在beans里面
    不过我发现有方法可以download编译后的Javabean class文件(某些系统的漏洞),反编译为
    源代码后看到数据库信息,这样就太不安全了
      

  2.   

    其实,JSP在J2EE里面是属于PRESENTATION LAYER部分的,所以有关数据库访问,事务,商业逻辑等重要的代码都应该写成在Bussiness Layer中的,如JavaBean或Enterprise JavaBean。这样,你所建立的网站才会更具扩展性,稳定性,也会更安全。
      

  3.   

    这些网站是不是将bean与JSP一同放置在公开目录里了,否则,除非你黑掉服务器,否则应该是无法download编译后的bean的。所以,我觉得还是这些网站在设计的时候没有做好架构关系造成的。
      

  4.   

    对啊,因为很多WEB服务器的架构是把class文件都放在了web目录下的Web-inf文件,利用一些漏洞就很容易得到了