【高危漏洞】JetBrains idea项目目录泄露【编号:14206708】


任务信息

背景

网络安全漏洞会直接影响企业的业务开展,甚至导致声誉受损。用户数据泄露更是影响用户生活的方方面面。《网络安全法》的指引下,保护网络安全,是企业的义务和责任。基于贵司签约蚂蚁金服开放平台时的授权,我们对您的回调地址及合作网站进行检测,提前发现安全问题,避免您的系统遭受黑客攻击。

漏洞类型

JetBrains idea项目目录泄露

漏洞危害

攻击者可以通过分析数据包内容或使程序报错等方式获得网站敏感文件,从而有针对性的进行利用攻击,可能产生的危害包括不限于:SQL注入,代码执行,文件上传,社会工程学攻击等。

修复截止时间

2021-10-06 18:45:26,请及时修复漏洞,若未及时修复漏洞将会关闭接口敏感字段。

漏洞说明

信息泄露主要因为以下原因导致:

应用或系统管理员,疏忽将重要的系统/应用配置信息公布在外网环境中;

应用程序未关闭调试信息;

应用程序出错并将错误信息显示给应用使用者等等;

信息泄露可导致攻击者利用泄露信息获取更多的攻击细节,为攻击提供关键信息,严重的可通过泄露信息直接获取服务器权限。

漏洞详情

target:"http://****:**/"

Detail:在http://****:**/下检测到.idea目录,泄露文件.idea/,URL:http://****:**/.idea/

修复建议

检查应用程序信息输出,并将敏感信息隐藏;

检查程序配置,及时修改配置错误;

提高人员安全意识。

建议参照以下修复建议进行修:

1. 配置好服务端语言解析,防止解析失败而导致源码泄露;

2. 关闭网站错误调试机制,防止因为报错而导致源码泄露。

网站存在备份文件:删除检测出的备份文件,或者将这类文件从网站目录下移走。

网站存在包含SVN信息的文件:删除网站目录下的SVN信息,不要使用SVN目录作为网站的目录。

网站存在Resin任意文件读取漏洞:删除resin_doc相关目录与文件。

网站存在目录浏览漏洞:关闭Web容器(如IIS/Apache等)的目录浏览功能,比如:

1.IIS中关闭目录浏览功能:在IIS的网站属性中,勾去“目录浏览”选项,重启IIS;

2.Apache中关闭目录浏览功能:打开Apache配置文件httpd.conf,查找 “Opti** Indexes FollowSymLinks”,修改为“ Opti** -Indexes”(减号表示取消),保存退出,重启Apache。

网站存在PHPINFO文件:删除检测出的PHPINFO文件。

网站存在服务器环境探针文件:删除检测出的探针文件,比如:iprober.php、phpcheck.php、jspcheck.jsp、DotNetInfo.aspx、aspcheck.asp等。

网站存在日志信息文件:删除检测出的日志信息文件。

网站存在JSP示例文件:删除JSP示例文件。

页面上存在数据库信息:关闭数据库的错误调试机制,防止因为SQL语句错误导致数据库报错信息显示到页面上。

页面上存在网站程序的调试信息:关闭网站程序的调试机制,这个机制经常被用于网站的测试调试,该机制能显示出很详细的网站报错信息。

网站存在后台登录地址:

1.将后台登录地址隐藏,改个不容易猜到的路径;

2.配置好后台登录地址的访问权限,比如只允许某个IP或IP段的用户访问。

网站存在服务端统计信息文件:删除检测出的服务端统计信息文件。

网站存在敏感目录:这些目录经常用于存放敏感的文件,可以考虑从网站目录中分离出,或改个不易猜测到的路径,并配置好访问权限。

 

解决办法

修改 gitblit.jar 

修改jar得方法参考: https://www.yesdotnet.com/archive/post/1624876108.html

1) 删除 .idea 目录

解压后 删除 .idea 目录

2)修改 web.xml文件

此方案无效,会导致gitblit无法正常启动,如果有其他方案会再次补充

文件路径:WEB-INF\web.xml

增加节点

XML 全选
<servlet>
	<servlet-name>default</servlet-name>
	<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
	<init-param>
	<param-name>debug</param-name>
	<param-value>0</param-value>
	</init-param>
	<init-param>
	<param-name>listings</param-name>
	<param-value>false</param-value>
	</init-param>
	<load-on-startup>1</load-on-startup>
</servlet> 

增加节点图片

改完后重新打包,替换即可

文件下载

也可以直接下载 修改后得jar文件

版权声明:本文为YES开发框架网发布内容,转载请附上原文出处连接
管理员
上一篇:CSS鼠标hover 背景动画煽动效果
下一篇:VS .NET使用EF添加实体数据模型向导添加连接报错
评论列表

发表评论

评论内容
昵称:
关联文章

高危漏洞JetBrains idea项目目录泄露编号14206708
服务器漏洞数据
.NET Core,.NET5 固定输出目录,不要版本目录
Nuget包增加输出目录targets配置
C# asp.net mvc 创建虚拟目录
nuget包配置复制文件到编译目录
VSCode隐藏node_modules目录
C# Winform选择文件夹目录
.NET Core 复制nuget包依赖的dll到输出目录
YESWin Winform开发框架 项目初始化配置并运行
中国国家产品分类目录下载
文件或目录损坏且无法读取
YESWEB开发环境运行项目
bat脚本:生成项目并自动加壳发布
.net Core项目.csproj配置指南
JocPlanTask 新建计划项目并添加引用
维护项目中的iconfont图标库
C# 使用Roslyn编译项目 .csproj
利用代码生成工具Database2Sharp生成ABP VNext框架项目代码
YESWin Winform开发框架 业务模块项目模板制作

联系我们
联系电话:15090125178(微信同号)
电子邮箱:garson_zhang@163.com
站长微信二维码
微信二维码