之前在做国网项目安全测试时候,被扫描出error message on page的漏洞,主要涉及的均为bea_wls_internal包下的文件,例如
error message on page漏洞为发现了可能泄露敏感信息的错误或警告消息。该消息还可能包含生成未处理异常的文件的位置;
对于该异常扫描工具提供的的解决办法为:验证此页面是否公开错误或警告消息,并正确配置应用程序以将错误记录到文件而不是向用户显示错误。
由于漏洞显示的文件均为weblogic相关插件,无法直接对内容进行修改,故做如下尝试:
1、对于网上提供的修改weblogic.xml以达到将相关文件目录隐藏的设置对于本漏洞无效;
2、之后又尝试效仿网上禁用weblogic的wls-wsat组件的方法试图将bea_wls_internal禁用,发现无效并报错,
3、自己写一个weblogic异常报面,仍无效错页。
最终尝试将bea_wls_internal相关war包内部内容删除,只保留一个空的war文件,测试通过。
该措施为无奈之举,希望有相关解决办法的可以联系探讨。