jsp编程语言自从推出之日起，由于它的快速、平台无关、可扩展、面向对象等特性得到了越来越广泛的应用，越来越多的厂家开发出了各种各样的支持平台如IBM 公司的WebSphere、BEA公司的WebLogic等等，也有越来越多的网站开始将自己的平台架构在jsp 环境中。

　　但是随之而来的就是一系列的安全漏洞问题，如源代码暴露漏洞、远程任意命令执行漏洞等等，更为头疼的是，随着jsp 的越来越广泛的应用，安全问题也越来越多了。截止到这篇文章为止，Internet上公开的关于jsp 的漏洞问题就多达二、三十条(还不包括未公开的)。(统计数据来源于http://www.securityfocus.com)

　　不要轻视这些问题，想象一下，你辛辛苦苦开发出来的jsp 代码就被别人这样轻而易举的获得了，更为重要的是，你公司网站的代码被人下载后，别有用意的人就会看你的代码，从中找到一些漏洞来攻击你的公司网站，所以这些问题不容忽视。作者在sohu 上搜索了一些用jsp做的国内网站，结果发现有一些网站确实存在各种各样的漏洞，可以轻松的下载jsp源代码。

　　本篇文章重点在于对jsp安全问题进行分类阐述和提出解决的建议，所以每种类型的安全问题只采用了一个例子，对于其它各种漏洞的具体细节如涉及到何种软件版本何种操作系统等就不一一进行阐述了，有兴趣的读者可以到我的网站jsp 爱好者(http://jspbbs.yeah.net)或者国外的安全站点(http://www.securityfocus.com)进行查看和参考。

根据目前已经发现的jsp安全问题，我们不妨将它们分为以下几类，源代码暴露类、远程程序执行类和其他类别, 下面来看看具体的东西吧。

一、源代码暴露类

　　源代码暴露类别主要指的是程序源代码会以明文的方式返回给访问者.

　　我们知道不管是jsp还是asp、php等动态程序都是在服务器端执行的，执行后只会返回给访问者标准的html 等代码。这是理论上的东西，实际运行起来由于服务器内部机制的问题就有可能引起源代码暴露的漏洞，简单的例子只要在程序文件名后加几个简单的字符就可能获得程序代码，如常见微软asp 的global.asa .htr、XXXX.asp伒鹊嚷┒础

　　二、远程程序执行类

　　这类漏洞的特点就是可以通过url 地址在浏览器中执行任意服务器上的命令和程序，从而引起安全问题。如Allaire JRUN 2.3 远程执行任意命令漏洞、iPlanet Web Server 4.x存在一个缓冲区溢出漏洞等等。

　　例子：Allaire 的 JRUN 服务器 2.3上输入下面的url地址http://jrun:8000/servlet/jsp/../../path/sample.txt，可以访问到WEB目录以外的文件，如果是exe文件，还有可能会引起执行。

　　原因：如果URL请求的目标文件使用了前缀"/servlet/"，则JSP 解释执行功能被激活。这时在用户请求的目标文件路径中使用"../"，就有可能访问到 WEB 服务器上根目录以外的文件。目标主机上利用该漏洞请求用户输入产生的一个文件，将严重威胁到目标主机系统的安全。

　　解决方法：安装最新的补丁。

三、其他类别

　　这些类别的范围就有点大了，可以包括数据库如SQL Server、Oracle 、DB2等的漏洞，也可以包括操作系统如WindowsNT/2000、Linu等的漏洞。这些东西的漏洞可以说都是致命的，如利用Linu的某些漏洞可以轻易的Su为管理员来远程控制服务器，获得系统的完全控制权限，这样要获得jsp源代码或者摧毁服务器比踩死一只蚂蚁还要轻松的多。

四、全文总结

　　通过上面内容我们可以看出jsp同asp一样还是存在着很多安全上的问题的，客观的说，服务器软件的开发商在内部测试中不可能将系统中的所有bug 找出来，即使发布了软件后，被发现的漏洞也只会是其中的很小一部分，将来还会不断的有新的安全问题出现，所以我们必须时刻提高警惕，并注意自己网站的安全。

　　一个好的建议就是多看安全文章，这些安全文章一般都会有详细的信息如软件的版本号、漏洞原因等等，最重要的是还附带了解决办法或者是补丁的下载链接，推荐的安全站点是国内的安全站点www.cnns.net或者国外的www.securityfocus.com站点；另外一个好的建议就是多装补丁程序，访问自己所使用的软件公司主页，从那上面获得最新的补丁程序，做得比较好的就是微软的站点，安全公告和补丁都特别及时。

　　最后想用一句话作为全文的结尾：一个优秀的黑客不一定是个好的jsp 程序员，一个优秀的jsp程序员一定要是个好的准黑客。