主题 : 如何屏蔽returnUrl?
级别: 贡士
UID: 21399
积分:592 加为好友
威望: 0 精华: 0
主题:46 回复:201
注册时间:2011-07-02
在线时长:0
1#   发表于:2014-06-25 10:44:14  IP:59.63.*.*
显示全部 只看该作者
遇到一个恶心的问题,应该算是JEE漏洞吧?
例如网站网址是www.abc.com
如果有人调用如下方法,不一会服务器就挂掉了,问一下应该如何处理?
http://www.abc.com/login.jspx?returnUrl=http://www.abc.com/login.jspx?returnUrl=http://www.abc.com/login.jspx?returnUrl=http://www.abc.com/login.jspx?returnUrl=http://www.abc.com/login.jspx?returnUrl=http://www.abc.com/login.jspx?returnUrl=http://www.abc.com/login.jspx?returnUrl=http://www.abc.com/login.jspx

怎么能过滤掉这个方法????
使用道具
   顶端
级别: 状元
UID: 33380
积分:50625 加为好友
威望: 21 精华: 3
主题:88 回复:30687
注册时间:2012-05-07
在线时长:0
2#   发表于:2014-06-25 10:49:26  IP:182.215.*.*
显示全部 只看该作者
http://bbs.jeecms.com/fabu/23135.jhtml
功成由勤,业精于勤。
使用道具
   顶端
级别: 状元
UID: 33380
积分:50625 加为好友
威望: 21 精华: 3
主题:88 回复:30687
注册时间:2012-05-07
在线时长:0
3#   发表于:2014-06-25 10:49:40  IP:182.215.*.*
显示全部 只看该作者
下载如上链接地址屏蔽
功成由勤,业精于勤。
使用道具
   顶端
级别: 贡士
UID: 21399
积分:592 加为好友
威望: 0 精华: 0
主题:46 回复:201
注册时间:2011-07-02
在线时长:0
4#   发表于:2014-06-25 11:03:52  IP:59.63.*.*
显示全部 只看该作者
2012 SP1版支持吗?
使用道具
   顶端
级别: 状元
UID: 33380
积分:50625 加为好友
威望: 21 精华: 3
主题:88 回复:30687
注册时间:2012-05-07
在线时长:0
5#   发表于:2014-06-25 11:06:16  IP:182.215.*.*
显示全部 只看该作者
2012 SP1版支持吗?
支持的
功成由勤,业精于勤。
使用道具
   顶端
级别: 贡士
UID: 21399
积分:592 加为好友
威望: 0 精华: 0
主题:46 回复:201
注册时间:2011-07-02
在线时长:0
6#   发表于:2014-06-25 11:07:54  IP:61.204.*.*
显示全部 只看该作者
非常感谢
使用道具
   顶端
级别: 状元
UID: 33380
积分:50625 加为好友
威望: 21 精华: 3
主题:88 回复:30687
注册时间:2012-05-07
在线时长:0
7#   发表于:2014-06-25 11:11:43  IP:182.215.*.*
显示全部 只看该作者
功成由勤,业精于勤。
使用道具
   顶端
级别: 贡士
UID: 21399
积分:592 加为好友
威望: 0 精华: 0
主题:46 回复:201
注册时间:2011-07-02
在线时长:0
8#   发表于:2014-07-24 00:07:30  IP:123.51.*.*
显示全部 只看该作者
我按照说明做了,现在returnUrl是好了,可是后台登陆的时候总是提示空页面:
输入用户名、密码以后点登陆,显示页面不存在。然后在index.do页面刷新可以看到后台了,这个多少算个问题啊!
使用道具
   顶端
级别: 状元
UID: 33380
积分:50625 加为好友
威望: 21 精华: 3
主题:88 回复:30687
注册时间:2012-05-07
在线时长:0
9#   发表于:2014-07-24 08:46:01  IP:182.6.*.*
显示全部 只看该作者
那个修复包我们测试时可以的,您可以清除下你tomcat缓存试试
功成由勤,业精于勤。
使用道具
   顶端
级别: 贡士
UID: 21399
积分:592 加为好友
威望: 0 精华: 0
主题:46 回复:201
注册时间:2011-07-02
在线时长:0
10#   发表于:2014-07-24 16:22:38  IP:59.63.*.*
显示全部 只看该作者
输入用户名和密码后:URL如下:
http://www.xxxxxx.com/jeeadmin/jeecms/login.jspx?locale=zh_CN
但页面内容还是页面找不到。。。。
奇怪了。。。
然后使用
http://www.xxxxxx.com/jeeadmin/jeecms/index.do
可以正常访问后台。。
使用道具
   顶端
1 2 > >| 共2页