漏洞报告: Web服务器目录遍历任意文件访问

最近公司交付的一个项目被扫描出有漏洞报告,具体描述如下:


漏洞描述

似乎可以使用特制的URL读取Web服务器文档目录之外的远程主机上的任意文件。未经身份验证的攻击者可能能够利用此问题访问敏感信息以帮助后续攻击。请注意,此插件不限于测试特定Web服务器集中的已知漏洞。相反,它尝试各种通用目录遍历攻击,并认为只要在响应中找到'/etc/passwd'或Windows'win.ini'文件内容的证据,产品就容易受到攻击。实际上,它可能会发现尚未向产品供应商报告的“新”问题。

修复建议

请与供应商联系以获取更新、使用其他产品或完全禁用服务。


目前还未能明确问题所在,怀疑是undertow的设置问题,

生产环境是Linux,jfinal 4.2,jfinal-undertow 1.6


另外还有一个报告跟帖子:

https://jfinal.com/feedback/7673

一样

评论区

JFinal

2020-09-16 12:02

漏洞扫描工具,如果不扫点东西出来,它自己是很没面子的

专门做这一行业的公司与个人更是没面子。我在 2009 年时做过北科院一个政府项目,做完以后要拿到专门的一个机构去做这类漏洞检测的工作,人家很轻松就能给你弄出一堆报告来

最后,回到你碰到的这个问题,你需要让对方重现问题是发生的过程,然后你才好修复问题

站在 jfinal 的角度,jfinal 唯一向外提供的口子就是你手动添加路由以后开放的 action,所以是不可能发生你碰到的这种事:“似乎可以使用特制的URL读取Web服务器文档目录之外的远程主机上的任意文件”

然后是 undertow,这个我认为概率也不大,如果确实有,你得让对方给出具体的重现方法

Max_Qiu

2020-09-16 13:00

给出重现方式!这一点很重要

李通

2020-09-16 13:23

```似乎可以使用特制的URL读取Web服务器文档目录之外的远程主机上的任意文件``` 这个问题任何web中间件都有,我当时的解决办法是 创建一个新的用户,使用这个新的用户运行项目,限制这个行的用户权限

李通

2020-09-16 13:27

在我经历的项目中,漏洞分为高危,中危,低危, 低危不需要修复

zeroabc

2020-09-16 14:30

@JFinal @Max_Qiu 确实,得重现问题,我们才好找到解决问题的方向,还有检验问题最后是否解决。除了我们公司交付以外,还有另外几个系统一同验收,他们用的是别的框架,现在验收方表示别的系统都没有这些问题,只有我们系统有这个报告。看到楼上说可能跟系统用户权限有关,我们先试着顺着在这个方向上看看怎么解决

zeroabc

2020-09-16 15:43

@JFinal 破案了。因为疏忽,undertow.txt的undertow.resourcePath设置了WebRoot, /, classpath:static 。问题就是这个/造成的,耽误大家时间了

zhangtianxiao

2020-09-16 17:33

/还行

JFinal

2020-09-20 16:53

@zeroabc resourcePath 配置成 / 是很危险的,配置文件都能获取到,解决就好,赞