360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
高危高危

JetBrains IDE workspace.xml文件泄露

WASC Threat Classification

发现时间:

2016-12-08

漏洞类型:

其他

所属建站程序:

其他

所属服务器类型:

通用

所属编程语言:

其他

描述:
网站存在JetBrains系列IDE的工作区文件,可以泄露整个工程的目录结构信息。

JetBrains是一家捷克的软件开发公司,该公司最为人所熟知的产品是Java编程语言开发撰写时所用的集成开发环境:IntelliJ IDEA。

相关影响IDE如下如下:
* IntelliJ IDEA - 一套智慧型的Java整合开发工具,特别专注与强调程式师的开发撰写效率提升
*PHPStorm 7.0 发布,PHP 集成开发工具
*PyCharm 3发布,智能Python集成开发工具
*RubyMine -RubyMine 是一个为Ruby 和Rails开发者准备的IDE,其带有所有开发者必须的功能,并将之紧密集成于便捷的开发环境中。
*WebStorm8.0 发布,智能HTML/CSS/JS开发工具
*AppCode - 开发的ObjC的IDE,是一个XCode的替代物
危害:
通过下载workspace.xml,可直接获取整个工程的目录结构,发现敏感文件,为渗透中收集信息、发现漏洞提供了极大的便利。
解决方案:

1、删除.idea目录
2、如使用git则
修改配置文件,隐藏workspace.xml:
.gitignore 中要写上 workspace.xml

如果已经commit workspace.xml 必须执行以下命令

$ git rm --cached .idea/workspace.xml

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论