关于政府网络安全扫描发现存在漏洞问题

yiya42538757 · 发表于 2019-8-22 08:15:44

本帖最后由 yiya42538757 于 2019-8-22 08:20 编辑

jishuang 发表于 2019-8-21 14:59
平台默认的WEB-INF.是不能访问，这个就是标准的web应用平台不会进行处理，需要自己检查一下相关配置 ...

意思是我们自己调整了配置导致能够访问/WEB-INF./?

平台下载后加上许可，再根本没进行过额外配置，都是平台提供的服务，我们本身根本没修改过web应用配置!
我们下载的3.8单机版测试了，什么都没改过，一样能访问，请问你们怎么默认不能访问的

开发板本地一样访问

江苏院-吴昊 · 发表于 2019-8-22 08:15:52

yiya42538757 发表于 2019-8-19 09:21
加上了还是能访问

他代码里写错了：
public void doFilter(ServletRequest request, ServletResponse reponse, FilterChain filterChain) throws IOException, ServletException {

String uri = ((HttpServletRequest)request).getRequestURI();

if (uri.toUpperCase().indexOf("/WEB-INF/") > -1) {

throw new RuntimeException("Access denied.");

}

filterChain.doFilter(request, reponse);

}
写的是/WEB-INF/，你可以改下重新编译，或让他们重新提供

yiya42538757 · 发表于 2019-8-22 08:18:36

江苏院-吴昊发表于 2019-8-22 08:15
他代码里写错了：
public void doFilter(ServletRequest request, ServletResponse reponse, FilterChai ...

好的谢谢昨天想改试试，后来不知道这个.是什么意思

yiya42538757 · 发表于 2019-8-22 09:30:34

jishuang 发表于 2019-8-21 14:59
平台默认的WEB-INF.是不能访问，这个就是标准的web应用平台不会进行处理，需要自己检查一下相关配置 ...

可以提供一个/WEB-INF./的jar么，我么自己打包引用关系总报错打不上

jishuang · 发表于 2019-8-22 09:33:38

看监测的工具是不是有什么要求
加.可以访问是windows系统控制的，直接到windows系统上打开文件加.就是被允许的

malixin · 发表于 2019-8-22 10:45:02

禁止路径访问设置下

yiya42538757 · 发表于 2019-8-22 13:41:45

本帖最后由 yiya42538757 于 2019-8-22 13:42 编辑

jishuang 发表于 2019-8-22 09:33
看监测的工具是不是有什么要求
加.可以访问是windows系统控制的，直接到windows系统上打开文件加.就是被允 ...

我把jar包里面的/WEB-INF/修改为/WEB-INF./，平台也连接不上了，登录提示404
截图_20190822134247.png

yiya42538757 · 发表于 2019-8-22 13:42:27

malixin 发表于 2019-8-22 10:45
禁止路径访问设置下

请问在哪里设置呀？

jishuang · 发表于 2019-8-22 15:03:24

25楼已经说了这个是windows系统的问题，不是代码的问题，到网上查找windows系统怎么设置

yiya42538757 · 发表于 2019-8-22 15:37:28

本帖最后由 yiya42538757 于 2019-8-22 15:40 编辑

jishuang 发表于 2019-8-22 15:03
25楼已经说了这个是windows系统的问题，不是代码的问题，到网上查找windows系统怎么设置 ...

jar包内将/WEB-INF/修改为/WEB-INF./，有找人帮忙调试了一下解决了，回复是服务内开的接口，根本没动什么windows就解决了。

不知道你让我去查什么windows设置。

结贴

		自动登录	找回密码
密码			注册

[结贴] 关于政府网络安全扫描发现存在漏洞问题