我已经使用在tomcat 7上运行的struts2和tiles编写了一个应用程序。核心影响漏洞扫描带来了" Hidden Pages漏洞 - 备份网页"列出了5个链接。所有这些链接应该对最终用户可用,以便他们可以使用该功能。这些不指向任何文件或目录。但根据公司政策?漏洞报告应该是干净的,没有列出任何内容。我不知道这个漏洞是什么,因为这些是用户所需的链接。 有人可以给我一些指示吗?
答案 0 :(得分:0)
隐藏/备份页面漏洞是指Web应用程序中完全浏览Web应用程序时无法访问的页面。
隐藏页面:它可能是一个页面,其中包含攻击者(可能是开发人员)添加的一些额外权限,作为后门。由于它没有在网站链接的地方,没有其他人会知道它(或者是攻击者所期望的)
备份页面:例如,考虑在开发阶段为index.html添加更多信息。然后将副本保存为index.bkp在同一目录中以供将来测试,并删除index.html中的额外代码。现在,虽然index.bkp没有在网站上直接链接,但攻击者可以猜测这些页面并滥用它们...... 备份页面也可能因某些编辑者保存中间文件...
因此,需要确保从Web容器中删除所有未使用的文件。如果需要任何页面备份,则必须将其保存在Web容器外的其他位置。
如果只有在满足某些特定条件后才能访问某个页面(扫描程序无法识别或无法访问),则漏洞扫描程序检测到此漏洞可能会出现误报。示例:受CAPTCHA保护的页面。
在这种误报的情况下,您必须知道漏洞扫描程序无法访问您的网页,因此您的扫描不完整。
要解决此问题,大多数扫描程序都会为用户提供帮助,以便通过提供适当的输入来抓取网站...