Jsp JRun HTTP 500响应错误处理程序不使用CF标准_Jsp_Coldfusion_Error Handling_Jrun

Jsp JRun HTTP 500响应错误处理程序不使用CF标准

jsp coldfusion error-handling

Jsp JRun HTTP 500响应错误处理程序不使用CF标准,jsp,coldfusion,error-handling,jrun,Jsp,Coldfusion,Error Handling,Jrun,我们使用自动安全探测，它揭示了一个漏洞，导致500个响应返回默认错误。JRun返回的错误上的信息泄漏被视为漏洞。此错误发生在JRun中CF之上，CF无法处理以下是导致内部JRun错误的测试代码片段： <cfhttp url="https://www.domain.com/FormController.cfc" method="post" result="r"><cfhttpparam type="header" name="Accept" value="text/xml,ap

我们使用自动安全探测，它揭示了一个漏洞，导致500个响应返回默认错误。JRun返回的错误上的信息泄漏被视为漏洞。此错误发生在JRun中CF之上，CF无法处理

以下是导致内部JRun错误的测试代码片段：

<cfhttp url="https://www.domain.com/FormController.cfc" method="post" result="r"><cfhttpparam type="header" name="Accept" value="text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5" />
<cfhttpparam type="header" name="Accept-Charset" value="ISO-8859-1,utf-8;q=0.7,*;q=0.7" />
<cfhttpparam type="header" name="Accept-Encoding" value="gzip;q=1.0, x-gzip;q=0.9, x-bzip2;q=0.9, deflate;q=0.8, identity;q=0.5, base64;q=0.1, quoted-printable;q=0.1, compress;q=0, *;q=0" />
<cfhttpparam type="header" name="Accept-Language" value="en-us,en;q=0.5" />
<cfhttpparam type="header" name="User-Agent" value="Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:13.0) Gecko/20100101 Firefox/13.0.1 WhiteHat Security" />
<cfhttpparam type="header" name="Content-Length" value="158" />
<cfhttpparam type="header" name="Content-Type" value="application/x-www-form-urlencoded" />
<cfhttpparam type="body" value="Method=%u002e%u002e%u2216%u002e%u002e%u2216%u002e%u002e%u2216%u002e%u002e%u2216%u002e%u002e%u2216%u002e%u002e%u2216%u002e%u002e%u2216%u002e%u002e%u2216%u002e%u002e%u2216%u002e%u002e%u2216boot%u002eini%00">
</cfhttp>

<cfdump var="#r#">
<cfoutput>#r.filecontent#</cfoutput>

那么，jsp似乎不是标准版的一个功能？所以我试着把500error.jsp改成500error.html。对文件名进行了更改，使其成为静态html，更新了web.xml，重新启动，现在我在帖子上得到了一个403，禁止点击

所以我不确定发生了什么。标准版是否不允许在JRun级别进行这样的自定义处理？它在开发者版上工作，因为它基本上是不受限制的？在文档中找不到答案。除了JRun解决方案，还有其他方法来处理这个问题吗

谢谢

似乎错误处理在开发服务器和生产服务器之间有所不同。您可以比较IIS设置下“错误页面”的设置吗。检查为500个错误设置的内容，并检查功能设置（左侧）中的错误响应

希望这能有所帮助。

在搜索Adobe文档和许多晦涩难懂的论坛帖子后，我发现Standard Edition实际上不支持JSP，但开发者和企业支持JSP。这就回答了一个问题

至于将错误处理程序从jsp更改为html，我认为这也是不可能的。除非我错过了一个场景。jsp错误以外的任何错误都会在IIS和Apache上导致

错误

在IIS上，我检查了我创建的/WEB-INF/error pages目录的所有权限，但找不到任何阻止访问的内容。我还尝试将html文件放到/WEB-INF/root中，但没有成功。所以在这一点上我倾向于放弃。我想像这样一个模糊的黑客尝试出现403错误是可以的。

您是否尝试为错误页面提供一个.cfm页面？我很好奇这是否有效？没有运气。使用/WEB-INF/error pages/500error.cfm会导致标准的CF file not found错误，即无法找到路径处的文件。仅用于GRIN，您是否尝试使用位于其他位置（即

/WEB INF/

之外）的html页面？

<error-page>
  <error-code>500</error-code>
  <location>/WEB-INF/error-pages/500error.jsp</location>
</error-page>

500

A License exception has occurred: You tried to access a restricted feature for the Standard edition: JSP


coldfusion.license.LicenseManager$LicenseIllegalAccessException: A License exception has occurred: You tried to access a restricted feature for the Standard edition: JSP
    at coldfusion.license.LicenseManager.byte(Unknown Source)
    at coldfusion.license.LicenseManager.checkJSP(Unknown Source)
    at coldfusion.license.JspLicenseServlet.service(Unknown Source)
    at coldfusion.bootstrap.BootstrapServlet.service(BootstrapServlet.java:89)
    at jrun.servlet.ServletInvoker.invoke(ServletInvoker.java:106)
    at jrun.servlet.JRunInvokerChain.invokeNext(JRunInvokerChain.java:42)
    at jrun.servlet.JRunRequestDispatcher.invoke(JRunRequestDispatcher.java:286)
    at jrun.servlet.ServletEngineService.dispatch(ServletEngineService.java:543)
    at jrun.servlet.jrpp.JRunProxyService.invokeRunnable(JRunProxyService.java:203)
    at jrunx.scheduler.ThreadPool$DownstreamMetrics.invokeRunnable(ThreadPool.java:320)
    at jrunx.scheduler.ThreadPool$ThreadThrottle.invokeRunnable(ThreadPool.java:428)
    at jrunx.scheduler.ThreadPool$UpstreamMetrics.invokeRunnable(ThreadPool.java:266)
    at jrunx.scheduler.WorkerThread.run(WorkerThread.java:66)