关于weblogic的bea_wls_internal之error message on page漏洞的解决办法

在进行国网项目安全测试中,发现由bea_wls_internal包引起的Errormessageonpage漏洞,该漏洞可能导致敏感信息泄露。尝试了多种解决方案,包括修改weblogic.xml、禁用wls-wsat组件及自定义错误页面,但均未成功。最终通过删除bea_wls_internal相关war包的内容,仅保留空war文件的方式解决了问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

之前在做国网项目安全测试时候,被扫描出error message on page的漏洞,主要涉及的均为bea_wls_internal包下的文件,例如

error message on page漏洞为发现了可能泄露敏感信息的错误或警告消息。该消息还可能包含生成未处理异常的文件的位置;

对于该异常扫描工具提供的的解决办法为:验证此页面是否公开错误或警告消息,并正确配置应用程序以将错误记录到文件而不是向用户显示错误。

由于漏洞显示的文件均为weblogic相关插件,无法直接对内容进行修改,故做如下尝试:

1、对于网上提供的修改weblogic.xml以达到将相关文件目录隐藏的设置对于本漏洞无效;

2、之后又尝试效仿网上禁用weblogic的wls-wsat组件的方法试图将bea_wls_internal禁用,发现无效并报错,

3、自己写一个weblogic异常报面,仍无效错页。

最终尝试将bea_wls_internal相关war包内部内容删除,只保留一个空的war文件,测试通过。

该措施为无奈之举,希望有相关解决办法的可以联系探讨。

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值