【高危漏洞】JetBrains idea项目目录泄露【编号:14206708】
任务信息
背景
网络安全漏洞会直接影响企业的业务开展,甚至导致声誉受损。用户数据泄露更是影响用户生活的方方面面。《网络安全法》的指引下,保护网络安全,是企业的义务和责任。基于贵司签约蚂蚁金服开放平台时的授权,我们对您的回调地址及合作网站进行检测,提前发现安全问题,避免您的系统遭受黑客攻击。
漏洞类型
JetBrains idea项目目录泄露
漏洞危害
攻击者可以通过分析数据包内容或使程序报错等方式获得网站敏感文件,从而有针对性的进行利用攻击,可能产生的危害包括不限于:SQL注入,代码执行,文件上传,社会工程学攻击等。
修复截止时间
2021-10-06 18:45:26,请及时修复漏洞,若未及时修复漏洞将会关闭接口敏感字段。
漏洞说明
信息泄露主要因为以下原因导致:
应用或系统管理员,疏忽将重要的系统/应用配置信息公布在外网环境中;
应用程序未关闭调试信息;
应用程序出错并将错误信息显示给应用使用者等等;
信息泄露可导致攻击者利用泄露信息获取更多的攻击细节,为攻击提供关键信息,严重的可通过泄露信息直接获取服务器权限。
漏洞详情
target:"http://****:**/"
Detail:在http://****:**/下检测到.idea目录,泄露文件.idea/,URL:http://****:**/.idea/
修复建议
检查应用程序信息输出,并将敏感信息隐藏;
检查程序配置,及时修改配置错误;
提高人员安全意识。
建议参照以下修复建议进行修:
1. 配置好服务端语言解析,防止解析失败而导致源码泄露;
2. 关闭网站错误调试机制,防止因为报错而导致源码泄露。
网站存在备份文件:删除检测出的备份文件,或者将这类文件从网站目录下移走。
网站存在包含SVN信息的文件:删除网站目录下的SVN信息,不要使用SVN目录作为网站的目录。
网站存在Resin任意文件读取漏洞:删除resin_doc相关目录与文件。
网站存在目录浏览漏洞:关闭Web容器(如IIS/Apache等)的目录浏览功能,比如:
1.IIS中关闭目录浏览功能:在IIS的网站属性中,勾去“目录浏览”选项,重启IIS;
2.Apache中关闭目录浏览功能:打开Apache配置文件httpd.conf,查找 “Opti** Indexes FollowSymLinks”,修改为“ Opti** -Indexes”(减号表示取消),保存退出,重启Apache。
网站存在PHPINFO文件:删除检测出的PHPINFO文件。
网站存在服务器环境探针文件:删除检测出的探针文件,比如:iprober.php、phpcheck.php、jspcheck.jsp、DotNetInfo.aspx、aspcheck.asp等。
网站存在日志信息文件:删除检测出的日志信息文件。
网站存在JSP示例文件:删除JSP示例文件。
页面上存在数据库信息:关闭数据库的错误调试机制,防止因为SQL语句错误导致数据库报错信息显示到页面上。
页面上存在网站程序的调试信息:关闭网站程序的调试机制,这个机制经常被用于网站的测试调试,该机制能显示出很详细的网站报错信息。
网站存在后台登录地址:
1.将后台登录地址隐藏,改个不容易猜到的路径;
2.配置好后台登录地址的访问权限,比如只允许某个IP或IP段的用户访问。
网站存在服务端统计信息文件:删除检测出的服务端统计信息文件。
网站存在敏感目录:这些目录经常用于存放敏感的文件,可以考虑从网站目录中分离出,或改个不易猜测到的路径,并配置好访问权限。
解决办法
修改 gitblit.jar
修改jar得方法参考: https://www.yesdotnet.com/archive/post/1624876108.html
1) 删除 .idea 目录
解压后 删除 .idea 目录
2)修改 web.xml文件
此方案无效,会导致gitblit无法正常启动,如果有其他方案会再次补充
文件路径:WEB-INF\web.xml
增加节点
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
改完后重新打包,替换即可
文件下载
也可以直接下载 修改后得jar文件