一、漏洞内容
http://192.168.0.100:8004/arcgis/manager/3370/js//../WEB-INF/web.xml
任意用户可获取ArcGIS的manager应用服务配置。直接下载到了web.xml文件,服务器存在安全漏洞,安全不通过。描述如下
GET /arcgis/manager/3370/js//../WEB-INF/web.xml HTTP/1.1
Host: 192.168.0.100:8004
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36 Edg/124.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: rsaPublicKey=null; SET_LAST_TIME=1718629101702; JSESSIONID=4B42D30C8363CF0F08592DC3D2C626EA
Connection: close
X-Forwarded-For: 36.56.205.195
二、问题分析
ArcGIS后台网站采用J2EE并通过tomcat侦听,物理路径位于 [ArcGIS安装位置]\Server\framework\runtime\tomcat。
在tomcat下的manager应用配置文件(即webapps\arcgis#manager\WEB-INF\web.xml,也就是被暴露的文件本身)中,存在一条对虚拟路径“3370/*”进行解析的filter-mapping节点,该节点对匹配的访问执行“BuildNumFilter”过滤器,允许通过虚拟路径访问该应用下的子文件夹。该过滤器对路径处理存在尚未研明的问题,允许访问同级匹配的WEB-INF和META-INF文件夹。
在使用3370/*后,arcgis#manager下的所有文件,比如新建一个 test.txt、doc、config 统统都能打开或者下载,因此需要对web.xml做过滤。
三、解决方案
将问题所在应用的web.xml的filter-mapping的匹配url-pattern拆分为3条,即从“/3370/*”改为“3370/js/*”、“/3370/css/*”和“/3370/proxy/*”。这样只允许下载和访问js、css、以及proxy代理等
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论