除去虚拟目录中的旧版本文件(临时文件下载、归档文件下载)

最新推荐文章于 2023-07-20 12:01:34 发布
最新推荐文章于 2023-07-20 12:01:34 发布
阅读量1.4k 收藏
点赞数
分类专栏: 安全监测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blue_skye/article/details/108991133
版权

 

临时文件下载
严重性:低
CVSS 分数: 5.0
URL:
实体: code (Page)
风险: 可能会下载临时脚本文件,这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息
原因: 在生产环境中留下临时文件
固定值:  除去虚拟目录中的旧版本文件

推理: 测试尝试检索源代码文件。响应未产生错误且包含非 HTML 内容,表示源代码检索已成功。

归档文件下载
严重性:低
CVSS 分数: 5.0
URL:
实体:  code (Page)
风险:  可能会下载临时脚本文件,这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息
原因:  在生产环境中留下临时文件
固定值:  除去虚拟目录中的旧版本文件

推理:  AppScan 接收到响应状态“200 OK”,而且内容类型与请求的文件扩展名匹配。

 

修复建议:

该任务修复的问题类型:归档文件下载、临时文件下载
常规:
归档文件下载
请勿将文件的归档版本存放在虚拟 Web 服务器根目录之下。相反地,请将归档文件存放在虚拟根之外。请确保,在虚
拟根目录下,只有实际在使用的文件。
临时文件下载
请勿将文件的备份/暂存版本归档在虚拟 Web 服务器根目录之下。 这通常在编辑器“就地”编辑这些文件之时发生。 相
反地,当升级站点时,请将文件移动或复制到虚拟根目录以外的目录、在这个目录中编辑文件,然后再将文件移动(或
复制)回虚拟根目录。 请确保,在虚拟根目录下,只有实际在使用的文件。
 

blue_skye
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AppScan 漏洞扫描,响应状态为“200 OK”
u011185986的博客
05-15 4368
APPScan 扫描系统遇到如下问题,可通过修改HttpServletResponsesetStatus状态码不为200解决,此处我修改为301。 1、Oracle Application Server PL/SQL 未授权的 SQL 查询执行 如图1所示问题: 图1 本系统使用的是MySQL,所以不需要去修改关于Oracle 的配置,造成这个问题的主要原因是:系统使用/api/admin/user/owa_util.listprint?p_theQuery=SELECT%20*%20FRO.
Tomcat8.5.34.0版本漏洞修复
modaner的博客
08-26 1168
5.替换tomcat相关文件 server.xml web.xml catalina.sh logs。2.停止tomcat服务,备份源tomcat文件夹只tomcat_bak目录。6.重命名apache-tomcat-8.5.79文件夹为tomcat。漏洞1:拒绝式服务漏洞 组件远程代码执行漏洞 反序列话代码执行漏洞。Tomcat8.5.34.0版本漏洞修复。漏洞2:AJP协议文件读取与包含严重漏洞。4.拷贝文件至/usr/local目录下。7.注释掉配置文件的AJP协议。3.解压tomcat。...
Apache/Nginx 挂载虚拟目录
Code鱼
03-03 1411
1.打开httpd.conf文件,并查找 “alias_module” 启用模块(去掉前面的 “#” 符号) LoadModule alias_module modules/mod_alias.so 2.httpd.conf文件查找 “<IfModule alias_module>” 在标签里面加入两行代码 <IfModule alias_module&g...
AppScan的指导文件
08-03
AppScan
Linux操作系统上的ArcGIS for Server 的维护——清除临时文件
RADI的博客
12-27 650
在Linux操作系统上,ArcGIS for Server生成的临时文件不会被软件自动删除。如果允许建立这些文件,则可能会导致地理处理任务和其他服务器功能的性能降低。定期清除文件有助于避免临时文件积累可能导致的性能问题。 从ArcGIS for Server 10.2.1开始,临时文件的默认位置位于以下位置: <ArcGIS Server安装目录> / arcgis / serv...
基于Appscan扫描漏洞修复方案
最新发布
weixin_46659330的博客
07-20 3989
基于Appscan扫描发现的漏洞,以及风险分析,解决方案
IBM AppScan 各种测试问题修改方案
yangye1225的博客
01-03 9144
1. SQL注入文件写入(需要用户验证) 解决办法:通过建立过滤器方法,对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] &
修改jar包的class文件
03-25
确保新class文件旧版本文件路径和命名上保持一致,以便Java虚拟机能正确识别。 4. **重新打包JAR**:使用`jar cf new-jar-file.jar *`命令将修改后的目录重新打包为一个新的JAR文件。如果需要保留原始JAR的...
数据库题库1-X86及虚拟化L1-1.docx
11-15
22. 正在运行的程序watch.bsh被断时,临时文件通常保存在个人目录。 23. SR-IOV技术主要用于降低网卡访问延迟。 24. 要更改ssh服务的默认端口,需修改`/etc/ssh/sshd_config`文件。 以上是对题库涉及知识点...
TomCat7下载
05-20
3. **部署Web应用**:可以通过将WAR文件(Web应用的归档文件)复制到“webapps”目录,或者通过管理工具(如Manager App)进行部署。应用会被自动展开并可供访问。 4. **安全性**:Tomcat7支持角色为基础的安全性,...
2021年数据库题库1X86及虚拟化.docx
12-17
22. 按Delete键或挂断电话,临时文件通常保存在个人目录下。 23. SR-IOV技术主要用于减少网卡访问延迟,提高虚拟机性能。 24. 修改`/etc/ssh/sshd_config`文件可以更改SSH服务的默认端口。 以上是针对这些题目所...
tomcat 解压版本,直接解压即可使用
10-23
任何放入此目录的WAR文件(Web应用归档文件)将自动被解压缩并部署。也可以直接把一个结构完整的Web应用目录放在这里。 7. **work** 目录:存储JSP编译后的类文件和Servlet容器在处理请求时产生的临时文件。 在...
【安全测试】AppScan:下载与安装
热门推荐
顾三殇 —— 博客空间(软件测试)
11-10 3万+
一、AppScan 下载 二、AppScan 安装 (1)使用超级管理员权限,以管理员身份运行 “AppScan_Setup_10.0.0.exe” 安装 (2)将文件 rcl_rational.dll 文件复制到软件安装目录下替换 (3)打开AppScan ,导入AppScanStandard.txt 作为许可证 (4)安装成功开始使用
tomcat-------虚拟目录
我需要懂得努力
09-03 889
在默认安装后,tomcat的主目录是webapps/root目录,如果我们想改变tomcat的主目录的话可以这样做: 1.打开C:\Tomcat\conf\server.Xml,在之间加入代码: path为虚拟路径,访问时的路径,注意:一定要加“/” debug建议设置为0,reloadable设置为true。 这样重新启动tomcat,我们的主目录就被设置为jeasyCM
检测到目标主机可能存在缓慢的HTTP拒绝服务攻击
blue_skye的专栏
10-10 1万+
受影响站点 *********** 详细描述 缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。以Slow headers为例,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部包含了一些We...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值