超级会员免费看
本文介绍了Web应用程序中的异常信息泄漏问题,详细阐述了JBoss默认配置下的安全漏洞,以及如何通过未定义统一错误页面导致信息泄露。检测方法包括使用扫描工具和手工尝试异常路径。修复方案涉及Tomcat、JSP、Apache、PHP和Spring MVC等不同环境的配置调整,以避免敏感信息在错误页面中暴露。
1、漏洞名称:
未自定义统一错误页面导致信息泄露,抛出异常信息泄露,错误详情信息泄漏
2、漏洞描述:
JBOSS默认配置会有一个后台漏洞,漏洞发生在jboss.deployment命名空间中的addURL()函数,该函数可以远程下载一个war压缩包并解压。如果压缩包里含有webshell文件,是直接可以解析的。
3、检测方法
1、通过web扫描工具对网站扫描可得到结果。
2、或者通过手工,去尝试打开一些不存在的网站路径,或者文件,以及在url中输入一些敏感的字符,看其页面是否会抛出异常或者报错,导致错误消息中包含一些网站架构、版本等敏感信息。
4、修复方案
详细的各种修复方案请参考如下:
1、对于tomcat的中间件下,常用修复方式如下:找到配置文件web.xml,修改内容如下:
<error-page
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
