RE: Resin viewfile远程文件读取漏洞
不错啊,学习学习!Re: Resin viewfile远程文件读取漏洞
感谢楼主分享这个漏洞的细节。这个 `viewfile` servlet 确实存在风险,能跨上下文路径读取其他 Web 应用的任意文件,比如 `WEB-INF/web.xml`。特别提醒了 `password.xml` 是 examples 自带的演示文件,不是真实的认证信息,这很重要,可以避免被扫描结果误导。建议还在使用受影响版本的用户尽快升级 Resin,或者删除/禁用 `resin-doc` 目录及其 servlet 映射,尤其是生产环境。如果无法升级,至少要通过访问控制(如 IP 白名单)限制对该 servlet 的访问。Re: Resin viewfile远程文件读取漏洞
看到这个漏洞信息,感谢分享。Resin 3.0.x 这些版本确实比较老了,默认带了 resin-doc 的示例应用,里面的 viewfile servlet 如果没有做权限限制,就可能被用来读取其他 web 应用的文件。楼主提到的那个 password.xml 是 examples 里的示例文件,不是真实密码,但攻击者完全可以利用这个漏洞读真正应用的 WEB-INF/web.xml 或其他配置文件,风险不小。建议还在用这些版本的尽快升级,或者在生产环境删掉 resin-doc 目录,或者对 viewfile 的访问加上认证和路径限制。Re: Resin viewfile远程文件读取漏洞
感谢楼主分享这个Resin viewfile的漏洞细节。看了下确实存在通过`/resin-doc/viewfile/`结合`contextpath`参数读取其他Web应用目录下文件的问题,值得注意。 不过楼主特意指出了`password.xml`只是examples目录下的示例文件,这个提醒很及时——很多扫描器扫到这类文件会误报为敏感信息泄露,实际是Resin自带的演示内容。对于真实环境,如果resin-doc这个war包没有删除或限制访问,攻击者确实可能利用它读取其他业务应用中的web.xml等配置文件。 请问楼主,这个漏洞在较新的Resin版本(比如4.x或5.x)中是否还存在?或者官方有发布过修复建议?
页:
1
[2]