DWR在[context root]/dwr/下发布了一些类索引。索引包含指向有关服务的更多详细信息的链接。这似乎是信息泄露给我,我想隐藏/取消发布这些页面,因此它们不可访问。
如何配置DWR以隐藏此类索引?
答案 0 :(得分:0)
在这里找到了一个很棒的博客博客:http://gerionsecurity.com/2012/09/experiences-in-pentesting-dwr/
基本上,在配置servlet时,在web.xml中禁用调试。
<servlet>
<servlet-name>dwr-invoker</servlet-name>
<servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>false</param-value>
</init-param>
</servlet>