Ocultar el archivo web.xml de la vista pública

4

He encontrado una vulnerabilidad en una aplicación sun java donde el archivo web.xml se puede ver públicamente ya que la aplicación no utiliza ningún .htaccess ni web.config.

No sé cómo restringir. Intenté con los permisos de archivo, pero cuando elimino los permisos de lectura, toda la aplicación deja de funcionar.

Busqué en Google y encontré que se pueden usar restricciones de seguridad en la asignación de servlets, pero el desarrollador dice que es para weblogic. La aplicación java sys se implementa en Win 2008.

¿Hay otras soluciones?

    
pregunta editorh5 01.09.2012 - 12:22
fuente

2 respuestas

2

Simplemente coloque esto en el archivo .htaccess :

Order Allow,Deny
Allow from all
<Files /web.xml>
    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1
</Files>

Repasemos esta línea de una en una:

  1. Order Allow,Deny : permite todas las solicitudes que no coincidan con una regla htaccess.
  2. Allow from all - Permitir todas las solicitudes. Anularemos esta regla más adelante con reglas más específicas.
  3. <Files /web.xml> : aplique el siguiente conjunto de reglas a los archivos que coincidan con /web.xml . Este bloque anula las reglas establecidas anteriormente.
  4. Order Deny,Allow : deniega todas las solicitudes que no coincidan con una regla htaccess dentro de este bloque.
  5. Deny from all - Denegar todas las solicitudes. Nuevamente, reemplazamos esta regla con una más específica.
  6. Allow from 127.0.0.1 : permite cualquier solicitud de 127.0.0.1 para /web.xml .
  7. </Files> : finalice el bloque que comenzamos en la línea 3.

Básicamente, esto nos deja con "para todos los archivos excepto web.xml , permitir todas las solicitudes. Para web.xml , denegar todas las solicitudes a menos que sean de 127.0.0.1 ".

    
respondido por el Polynomial 02.09.2012 - 11:28
fuente
1

Si desea bloquear web.xml sin tocar la aplicación, puede usar modsecurity con Configuración de IIS como servidor proxy inverso

    
respondido por el Gaurav Kumar 02.09.2012 - 03:53
fuente

Lea otras preguntas en las etiquetas