ArcgisServer屏蔽服务访问页面等安全漏洞

最新推荐文章于 2025-05-21 17:59:50 发布
最新推荐文章于 2025-05-21 17:59:50 发布
阅读量7.9k 收藏 5
点赞数 2
CC 4.0 BY-SA版权
分类专栏: arcgis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43135696/article/details/104622112
本文档详细介绍了如何通过配置ArcGIS Server提高安全性,包括禁用信息遍历、消除不安全的域传送漏洞、防止帮助文档泄漏,以及如何配置HTTPS证书和启用SSL来加强数据传输的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1 信息遍历
通过Arcgis Server自身配置进行设置。本机测试通过。
1.1 配置步骤
打开如下地址
http://ip:6080/arcgis/admin/system/handlers/rest/servicesdirectory
在这里插入图片描述
点击 edit,将Services Directory Enabled 的勾选去掉,保存。

在这里插入图片描述
1.2 设置后效果
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
2 不安全的域传送漏洞
删除Arcgis Server 安装目录下的 crossdomain.xml。
在这里插入图片描述
3 帮助文档泄漏
删除ArcgisServer目录下的help目录里面相关文件。
在这里插入图片描述
详细操作如下
help目录下共有gp、samples、SDK和server_help四个目录,分别介绍如下:
gp:保留,内部无帮助文档;
保留samples目录和下级的data和java两个目录,但删除data和java中的内容;
保留SDK目录和下级的SOAP和REST两个目录,但删除SOAP和REST两个目录中的内容;
保留server_help目录和下级的WEB-INF目录,删除下级的en目录。

4 https2http
http://resources.arcgis.com/zh-cn/help/main/10.1/index.html#//015400000600000000

4.1 配置证书

  1. 登录到 ArcGIS Server 管理员目录:http://[主机名称]:6080/arcgis/admin。
  2. 导航到计算机 > [计算机名称] > sslcertificates。
    在这里插入图片描述
    4.2 启用SSL
    传输层安全性协议(英语:Transport Layer Security,缩写作TLS),及其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器,网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。IETF将SSL进行标准化,

在这里插入图片描述
在这里插入图片描述

ArcGIS地理空间平台manager存在任意文件读取漏洞
缘梦未来的博客
12-15 793
ArcGIS 是一个面向专业人士和组织的综合地理空间平台。 它是领先的地理信息系统 (GIS) 技术。 ArcGIS 由 Esri 构建,通过地理环境集成和连接数据。 它为创建、管理、分析、映射和共享所有类型的数据提供了世界领先的功能。 使用 ArcGIS 在地理环境中理解和分析数据的组织具有明显的优势和决策制定领先地位。
ArcGIS 地理信息系统 任意文件读取漏洞复现
0xSec
11-04 1840
ArcGIS地理信息系统 存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
常见未授权访问漏洞
weixin_60838266的博客
07-17 5500
由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可以执行任意方法,从而导致远程命令执行漏洞。受影响的版本包括 5.0 和 5.1 版本(即默认情况下)。
安全漏洞之Host注入
最新发布
weixin_43676350的博客
05-21 591
Host注入的核心风险是服务器过度信任客户端可控的输入。通过白名单验证、固定域名配置和输入过滤,可有效防御此类攻击。服务器依赖该字段来识别用户请求的网站(尤其在多域名托管的环境中)。头用于指定客户端请求的目标域名和端口(例如。头字段进行攻击的安全漏洞。头进行严格验证时,攻击者可伪造。是一种利用HTTP请求中的。
ArcGIS Server Manager服务的web.xml文件任意下载泄露漏洞
我要一步一步从菜鸟做到好手.
06-18 2976
在tomcat下的manager应用配置文件(即webapps\arcgis#manager\WEB-INF\web.xml,也就是被暴露的文件本身)中,存在一条对虚拟路径“3370/*”进行解析的filter-mapping节点,该节点对匹配的访问执行“BuildNumFilter”过滤器,允许通过虚拟路径访问该应用下的子文件夹。arcgis#manager下的所有文件,比如新建一个 test.txt、doc、config 统统都能打开或者下载,因此需要对web.xml做过滤。
最新系统漏洞--Esri Arcgis Server跨站脚本漏洞
weixin_48555088的博客
11-08 4039
最新系统漏洞2021年11月7日 受影响系统: ESRI Arcgis Server <= 10.8.1 描述: Esri Arcgis Server是美国Esri公司的一个面向Web的可用于提供地理位置服务的企业级软件平台。 Esri Arcgis Server 10.8.1及之前版本存在跨站脚本漏洞。远程攻击者可利用该漏洞通过诱导用户点击恶意链接执行任意JavaScript代码。 <**> 建议: 厂商补丁: ESRI 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Log4J漏洞补丁(ArcGIS Enterprise适用)
alun550的博客
01-06 1894
ArcGIS Enterprise 的 Log4J 漏洞补丁工具,适用于 ArcGIS 10.9.1 及以下的 ArcGIS Portal、ArcGIS Server、ArcGIS DataStore
漏洞复现】ArcGIS地理空间平台manager任意文件读取漏洞
m0_46381222的博客
11-26 2055
漏洞复现】ArcGIS地理空间平台manager任意文件读取漏洞
arcgis|报错】未授权使用%s,请访问ArcGIS Administrator
qq_52037636的博客
03-17 7407
打开arcgis的时候发现提示报错:未授权使用%s,请访问ArcGIS Administrator,应该是授权码过期了,在网上百度了一下发现没有同样情况的文档教程,索性自己做一个吧。这个报错的解决思路是,首先解除之前过期的许可,再上传新的许可就可以了。
解决arcgis server跨域问题
07-22
1、停掉ArcGIS Server的服务。 2、 打开<ArcGIS Server> \framework\runtime\tomcat\conf\web.xml,注册跨域bean 3、lib下拷贝 cors-filter-2.5.jar java-property-utils-1.9.1.jar包 4、启动ArcGIS Server的服务。 5...
ArcGIS Server 10.0-10.5的ecp文件
04-07
ArcGIS Server中,ecp文件扮演着设置服务器环境、定义权限、管理用户访问以及配置Web服务的角色。每个版本的ecp文件可能包含特定版本的新功能、性能优化或安全更新,因此对于升级和维护ArcGIS Server的环境至关...
ArcGIS漏洞修补工具(Log4J)
01-18
ArcGIS Enterprise 10.9.1及以下版本的 log4j 漏洞修补工具
ArcGIS Server manager无法登陆问题
12-26
ArcGIS Server manager无法登陆问题
ArcGIS Server 10.2跨域jar包
09-25
2. **放置jar包**:将jar文件添加到ArcGIS Server的`<arcgisserver_install_dir>/java/lib`目录下,这是ArcGIS Server加载自定义Java类的位置。 3. **配置服务器**:在ArcGIS Server管理器中,需要更新服务器的Web ...
Arcgis server 10.8.1授权. ECP
04-15
6. **监控与管理**:使用ArcGIS Server Manager或Web接口(如ArcGIS REST API)监控服务性能,管理用户访问,以及进行故障排查。 7. **高可用性和扩展**:为了提高服务的稳定性和处理能力,可以设置ArcGIS Server...
ArcGIS Server发布地图服务.doc
01-02
ArcGIS Server是一款强大的地理信息系统(GIS)软件,它允许用户管理和发布地图服务,以便在Web上进行共享和访问。本文将详细讲解如何使用ArcGIS Server发布地图服务,包括在ArcGIS Server上发布地图服务的步骤,...
ArcGIS Server内置tomcat更新,修复低版本tomcat漏洞
qq_42193083的博客
07-24 710
3.将准备的tomcat解压并打开bin目录,将文件类型为jar和gz的文件选择并赋值到arcgisserver内置的tomcat中进行替换。4.将准备的tomcat的lib文件夹下的jar包拷贝到arcgisserver内置的tomcat的lib文件夹下进行替换。2.将arcgisserver内置的tomcat备份。停止arcgisserver服务。下载需要的版本,此处下载版本是apache-tomcat-7.0.109。1.准备好需要的tomcat版本,可从。5.启动arcgisserver服务
ArcGIS地理空间平台 manager 任意文件读取漏洞复现
iSee857的博客
11-07 1197
开发,旨在为专业人士和组织提供全面的地理信息系统(GIS)功能。ArcGIS通过集成和连接地理环境中的数据,支持创建、管理、分析、映射和共享各种类型的数据,从而帮助组织在决策制定中占据领先地位‌。漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。ArcGIS地理空间平台 /arcgis/manager接口存在任意。在处理客户端输入的参数时,进行严格的验证和过滤,防止未授权的文件访问。‌是一个综合的地理空间平台,由。
ARCGIS的一些坑
twyeah的博客
09-28 861
今天争取到了一个ARCGIS的二次开发的尝试的机会试了一下 入了 C#和 AE的坑 真是各种大错小错啊 稍微总结下:1.首先是有一句必须添加,下面的第三行 Application.EnableVisualStyles(); Application.SetCompatibleTextRenderingDefault(false);
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值