Nascondi il file web.xml dalla visualizzazione pubblica

Naviga le tue risposte
4

Ho trovato una vulnerabilità in un'applicazione sun java in cui il file web.xml è pubblicamente visualizzabile poiché l'applicazione non utilizza alcun .htaccess né web.config.

Non so come restringere. Ho provato con i permessi dei file, ma quando rimuovo i permessi di lettura l'intera applicazione smette di funzionare.

Ho cercato su Google e ho scoperto che è possibile utilizzare i vincoli di sicurezza sulla mappatura servlet, ma lo sviluppatore dice che è per weblogic. L'applicazione java sys è distribuita su win 2008.

Ci sono altre soluzioni?

    
posta editorh5 01.09.2012 - 12:22
fonte

2 risposte

2

Inseriscilo nel file .htaccess : 

Order Allow,Deny
Allow from all
<Files /web.xml>
    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1
</Files>

Esaminiamo questa riga alla volta:

  1. Order Allow,Deny : consente tutte le richieste che non corrispondono a una regola htaccess.
  2. Allow from all : consente tutte le richieste. Sostituiremo questa regola in seguito con regole più specifiche.
  3. <Files /web.xml> : applica il prossimo set di regole ai file che corrispondono a /web.xml . Questo blocco sovrascrive le regole impostate sopra.
  4. Order Deny,Allow - Rifiuta tutte le richieste che non corrispondono a una regola htaccess all'interno di questo blocco.
  5. Deny from all - Rifiuta tutte le richieste. Ancora una volta, sostituiamo questa regola con una più specifica.
  6. Allow from 127.0.0.1 : consenti qualsiasi richiesta da 127.0.0.1 per /web.xml .
  7. </Files> : termina il blocco che abbiamo iniziato alla riga 3.

In sostanza, questo ci lascia con "per tutti i file tranne web.xml , consenti tutte le richieste. per web.xml , rifiuta tutte le richieste a meno che non siano da 127.0.0.1 ".

    
risposta data 02.09.2012 - 11:28
fonte
1

Se vuoi bloccare web.xml senza toccare l'applicazione, puoi usare modsecurity con Configurazione di IIS come server proxy inverso

    
risposta data 02.09.2012 - 03:53
fonte

Leggi altre domande sui tag

Avviso di sicurezza - Convalida file di Office - come decidere se procedere? Un malware può passare da una macchina virtuale a quella fisica? [duplicare]