360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
警告警告

J2EE WEB.XML配置文件信息泄露

WASC Threat Classification

发现时间:

2012-11-23

漏洞类型:

权限许可和访问控制

所属建站程序:

其他

所属服务器类型:

Nginx

所属编程语言:

其他

描述:

目标存在服务器配置信息泄露漏洞。TomCat 服务器下的web-inf文件夹是一个非常安全的文件,在页面中不能直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问。在web服务器中部署的应用的敏感信息是禁止直接访问的,但当web服务器搭配使用时,由于安全意识的疏忽,导致私密信息能够被访问到。

危害:

敏感信息泄露,可能被攻击者利用,进一步攻击。


解决方案:

对服务器进行配置,禁止对相应目录的访问。

例如,对Nginx进行配置的解决方法:

location ~ ^ /web-inf/ {
    deny all

}
 

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论