jspwiki Edit.jsp路径遍历 安全漏洞如何修复?

首先你可以确定一下是否真的存在遍历漏洞就是虽然返回值是200 有没有确实的把更深层的目录内容显示在网页上，如果都是空的话那是没有问题的，如果确实把深层目录内容显示出来了那么有几个方案 第一更新版本，一般来说这种能检测出来的漏洞都会有相应的补丁和新版本更新，第二就是自己手动更改源码这个一般是过滤不严或者代码不严谨导致的价格过滤或者输入检测把或者/过滤掉，对用户传过来的文件名参数进行硬编码或统一编码，对文件类型进行白名单控制，对包含恶意字符或者空字符的参数进行拒绝
第三自己设置读写权限web应用程序可以使用chrooted环境包含被访问的web目录，或者使用绝对路径+参数来访问文件目录，时使其即使越权也在访问目录之内。>由于最近Bash爆发了一个严重的漏洞，故此影响了市面上几乎所有的Linux系统。处于安全的角度考虑客户要求为每一个受影响的主机都进行漏洞修补。由于公司使用的是红帽系统故此安全也同样受到影响。
（题外话：红帽的补丁需要收费才能下载，作为穷人我表示无奈，问了一下公司也表示没有购买红帽的服务，红帽的服务一般是按着CPU颗数算的，好像是两颗为一组，一组服务（红帽的人管服务叫订阅）5×8服务价格为799美元，7×24的价格为1299美元。）
有漏洞的服务器执行以下命令会有"vulnerable"和"this is a test"的信息提示，如图：
如果没有漏洞或者漏洞已修补则只提示"this is a test"。
由于公司没有购买红帽服务故此从第三方渠道获得了补丁。（花了我好多积分，肉疼）
设计到的服务器有两种，一种是Red Hat Enterprise Linux Server release 5系统是32为的，系统上的bash为bash-32-24el5。
拿到的补丁文件有bash-32-33el5_114i386rpm这个文件是适合我这个版本使用。
上传到服务器上，开始安装。
顺利安装完成，再次执行测试语句得知漏洞已修补。
另一种为Red Hat Enterprise Linux Server release 6也是32位的，bash的版本为bash-412-8el6i686。这台比较麻烦得到的补丁包为bash-412-15el6_52srcrpm。一般来讲这种src的包都是为编译的，需要编译之后生成正常的rpm来进行安装。突然脑子抽筋了直接进行了安装，结果就报错了，如图：
后来想起来未编译的src的包需要进行编译然后才能生成正常的rpm包。
把src的包上传到服务器上，然后如下命令进行编译：
rpmbuild --rebuildbash-412-15el6_52srcrpm编译之后看提示在/root/rpmbuild/RPMS/i686/目录下生成了若干个包。
进入/root/rpmbuild/RPMS/i686/在下面找到bash-412-15el62i686rpm这个包进行安装，再次测试漏洞已修复完成，如图：
剩下的就是还剩了几台红帽6的服务器，拿着这个编译好的包，到各个服务器上安装即可。到此为止宣布修复完成。
有需要红帽5和6补丁包的朋友我在这里提供了下载地址，32和64位的都在这里，上传Linux公社1号FTP服务器中了，请需要的朋友可以下载并参考以上步骤安装即可。
------------------------------------------分割线------------------------------------------
FTP地址：ftp://ftp1linuxidccom
用户名：ftp1linuxidccom
密码：>下载方法见 >1、请先检查你的系统信息与所要安装的补丁是否相符，使用360安全卫士请确保自己使用的是windows
xp和windows
2000系统。
2、下载补丁时，请确保自己网络环境良好，网速太慢会导致补丁下载失败。若遇到网速太慢的情况，请避开用网高峰期，在深夜或凌晨下载补丁。
3、使用微软自带的自动更新无法安装成功的话，请联网状态下使用360下载相应补丁后，重新启动进入到安全模式中，然后运行360，点击“常用”——“修复系统漏洞”——“打开已下载的补丁安装程序目录”（在右上脚），进入到补丁目录后，手动运行补丁进行安装。
（注：使用其他软件下载补丁请自己寻找相应补丁下载存放目录）
4、手动安装过程中如果系统提示某程序正在运行，补丁无法安装成功之类的提示信息，请记下所提示的正在运行的程序的名字，打开任务管理器，结束该程序后，重新进行一次漏洞安装。
5、某些漏洞安装有先后顺序，安装过程中如提示某漏洞补丁还未被安装，补丁安装失败，请记录下未被安装的漏洞补丁的文件名，在补丁目录中找到相应的补丁安装或到微软主页下载相应的补丁文件进行安装。然后继续刚才的安装 *** 作。

Win7下载的补丁文件夹是：C盘\Windows\SoftwareDistribution\Download ，如果下载的补丁是自动安装的就没有安装文件，但可以在控制面板中选择卸载。

*** 作方法：

1、首先在C盘的对应的文件夹中查看下载下来的更新文件，进行删除即可。

2、或者可以打开控制面板，点击右上角的“类别”下的“小图标”。

3、在其中点击“Windows Update”选项。

4、然后点击左侧菜单栏中的“查看更新历史记录”。

5、进入后点击“已安装的更新”选项按钮。

6、即可进入卸载更新的窗口，右键选中需要卸载的更新选择卸载即可。

漏洞修复、漏洞修复不上建议使用以下方法进行修复。

1
、下载并打开可牛免费杀毒。

2
、点击漏洞修复。

3
、智能扫描电脑中存在的漏洞，点击“立即修复”，即可智能修复电脑中存在的安全漏洞。

漏洞修复不上、安装失败是有一些不法黑客蓄意为之！他们通过技术手段拦截破坏了安全软件或是Windows自身的服务导致系统一打补丁就失败，从而达到令网民机器始终得不到应有的保护的目的。
~
系统补丁安装失败的原因及现象有：

1
安装程序不能验证updateinf完整性

2
由于系统中加密服务（Cryptographic
Services）缺失所导致的

3Windows
系统中的Terminal
Services服务关闭或被病毒损坏

4WindowsVista
（以及SP2）版本系统，由于用户权限过低造成的文件备份不能保存自动备份设置，原因如下：指定的文件系统资源管理器中的事务支持未启动或关闭错误。(0x80071A91）

可能造成上述问题的其他原因&解决方法：

1
下载失败：您可以换个时段来下载，最好不要很多一起下，一个个下载就能解决问题。

2
如果是安装失败的话，您可以尝试在安全软件的安装目录下找到相应的补丁文件进行手动安装。

3
如果不可以的话就重启电脑按F8进入安全模式进行修复这样就能解决问题因为有的补丁在正常模式下受到干扰而导致失败的。

可牛杀毒漏洞修复：
>