关于政府网络安全扫描发现存在漏洞问题

yiya42538757 · 发表于 2019-8-12 22:16:15

在安全扫描中通报我公司如下问题，请问如何解决

jishuang · 发表于 2019-8-13 09:25:25

具体的漏洞提示是什么啊？你只发了漏洞的文件，没有漏洞的具体内容啊

yiya42538757 · 发表于 2019-8-13 21:23:29

jishuang 发表于 2019-8-13 09:25
具体的漏洞提示是什么啊？你只发了漏洞的文件，没有漏洞的具体内容啊

这个就是给我们的报告全部内容，而且也不回复我们咨询，就要求整改。
我就想问一下这个路径xml文件是平台做什么用的，我们是否有方法按照要求做禁止访问处理。

jishuang · 发表于 2019-8-14 09:08:57

这个就是标准的web应用需要配置的web.xml文件啊

yiya42538757 · 发表于 2019-8-15 09:03:28

本帖最后由 yiya42538757 于 2019-8-15 09:07 编辑

jishuang 发表于 2019-8-14 09:08
这个就是标准的web应用需要配置的web.xml文件啊

是的，就是在runtime下的web.xml文件，现在安全扫描报告说，可以直接通过url的方式访问到这个文件，限期整改，想知道如何禁止通过这种方式访问到这个文件

企业微信截图_15658309631980.png

江苏院-吴昊 · 发表于 2019-8-15 10:58:40

我感觉这是平台的问题，3.6好像没这个问题。3.8有问题，WEB-INF/web.xml 这个在tomcat中是不可能访问到的。

注意到，url是 WEB-INF./web.xml，压根就没有这样的目录结构。

jishuang · 发表于 2019-8-15 11:42:38

可以参考中的把jar放到runtime/UIServer/WEB-INF/lib下，在runtime/UIServer/WEB-INF/web.xml中配置上filter
https://note.youdao.com/ynotesha ... 9deba&type=note

yiya42538757 · 发表于 2019-8-16 08:15:01

本帖最后由 yiya42538757 于 2019-8-16 08:55 编辑

jishuang 发表于 2019-8-15 11:42
可以参考中的把jar放到runtime/UIServer/WEB-INF/lib下，在runtime/UIServer/WEB-INF/web.xml中配置上filte ...

jar包拷贝进去，然后在web.xml中加入这段代码么？
  <filter>
<filter-name>web_inf_filter</filter-name>
<filter-class>com.justep.wangjie.WebInfFilter</filter-class>
  </filter>
  <filter-mapping>
<filter-name>web_inf_filter</filter-name>
<url-pattern>/*</url-pattern>
  </filter-mapping>

写在哪个位置呀？
能详细说一下步骤么？使用X5前没有接触过软件开发，不太会使用

jishuang · 发表于 2019-8-16 09:05:45

这个跟x5无关，就是web应用标准的filter的配置，只要配置进去就可以

yiya42538757 · 发表于 2019-8-16 09:46:53

本帖最后由 yiya42538757 于 2019-8-16 09:53 编辑

jishuang 发表于 2019-8-16 09:05
这个跟x5无关，就是web应用标准的filter的配置，只要配置进去就可以

在哪配置啊，是不是写在UIserver/Web-INF/web.xml里。

还有笔记里是Web-INF,我这个是WEB-INF.,这个点是什么意思

		自动登录	找回密码
密码			注册

[结贴] 关于政府网络安全扫描发现存在漏洞问题