起步软件技术论坛
搜索
 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1323|回复: 5

[处理中3] CMS信息泄露风险

[复制链接]

15

主题

49

帖子

147

积分

初级会员

Rank: 2

积分
147
QQ
发表于 2023-6-5 10:39:14 | 显示全部楼层 |阅读模式
季老师,您好:
  最近对应用服务器进行风险测试,发现一个风险,请问这个要怎么来处理?安全顾问的要求是BusinessServer这个文件加下所有文件均需要登录账号后才有访问权限。
30575d42d1b8dbf393d3eb37bd4a2d5.png
72b76fe3309f7e4312ff18330ff90d8.jpg

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
36071
发表于 2023-6-5 14:37:26 | 显示全部楼层
default.html请求的3.9版本中应该是处理过没有返回任何信息的
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

15

主题

49

帖子

147

积分

初级会员

Rank: 2

积分
147
QQ
 楼主| 发表于 2023-6-5 18:16:13 | 显示全部楼层
jishuang 发表于 2023-6-5 14:37
default.html请求的3.9版本中应该是处理过没有返回任何信息的

季老师,这个只是这个文件夹下的html的返回,技术安全部的要求是整个runtime/BusinessServer文件夹需要只能用户登录后访问到
回复 支持 反对

使用道具 举报

15

主题

49

帖子

147

积分

初级会员

Rank: 2

积分
147
QQ
 楼主| 发表于 2023-6-6 10:25:52 | 显示全部楼层
我们开发试过在tomcat中去屏蔽这个文件夹下所有文件,但是因为平台有很多请求都是从这里进行交互的,屏蔽之后功能就无法正常使用了。您这边有什么方案能够让runtime/BusinessServe这个文件夹下所有文件均只能用户登录之后访问的到?
回复 支持 反对

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
36071
发表于 2023-6-6 10:29:58 | 显示全部楼层
BusinessServer就是标准的web应用的跟目录,可以自己写filter控制
平台默认的请求action的时候肯定是可以判断登录的,如果要直接控制文件那就看标准的web应用都是怎么控制的
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

33

主题

373

帖子

916

积分

高级会员

Rank: 4

积分
916
QQ
发表于 2023-6-6 16:49:40 | 显示全部楼层
学习
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|X3技术论坛|Justep Inc.    

GMT+8, 2024-12-4 01:18 , Processed in 0.076134 second(s), 26 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表