web-dev-qa-db-ja.com

パブリックビューからweb.xmlファイルを非表示にする

アプリケーションが.htaccessもweb.configも使用していないため、web.xmlファイルが公開されているSun Javaアプリケーションに脆弱性が見つかりました。

制限する方法はありません。ファイルのアクセス許可を試しましたが、読み取りのアクセス許可を削除すると、アプリケーション全体が機能しなくなります。

私はググってサーブレットマッピングのセキュリティ制限が使用できることを発見しましたが、開発者はそれがweblogicのためであると言います。 Java sysアプリケーションはwin 2008にデプロイされています。

他の解決策はありますか?

windowswebserverjava
4
editorh5

これを.htaccessファイルに入れるだけです。

Order Allow,Deny
Allow from all
<Files /web.xml>
    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1
</Files>

一度にこの1行を実行してみましょう。

  1. Order Allow,Deny-htaccessルールに一致しないすべてのリクエストを許可します。
  2. Allow from all-すべてのリクエストを許可します。このルールは後で、より具体的なルールで上書きします。
  3. <Files /web.xml>-/web.xmlに一致するファイルに次のルールセットを適用します。このブロックは、上記で設定されたルールを上書きします。
  4. Order Deny,Allow-このブロック内のhtaccessルールに一致しないすべてのリクエストを拒否します。
  5. Deny from all-すべてのリクエストを拒否します。繰り返しますが、このルールをより具体的なもので上書きします。
  6. Allow from 127.0.0.1-127.0.0.1に対する/web.xmlからのすべてのリクエストを許可します。
  7. </Files>-3行目で開始したブロックを終了します。

基本的に、これにより、「web.xml以外のすべてのファイルについては、すべての要求を許可します。web.xmlについては、127.0.0.1からのものでない限り、すべての要求を拒否します」。

2
Polynomial

アプリケーションに触れずにweb.xmlをブロックする場合は、 modsecurity をIISリバースプロキシサーバーとして設定して使用できます。

1
Gaurav Kumar