最近公司交付的一个项目被扫描出有漏洞报告,具体描述如下:
漏洞描述
似乎可以使用特制的URL读取Web服务器文档目录之外的远程主机上的任意文件。未经身份验证的攻击者可能能够利用此问题访问敏感信息以帮助后续攻击。请注意,此插件不限于测试特定Web服务器集中的已知漏洞。相反,它尝试各种通用目录遍历攻击,并认为只要在响应中找到'/etc/passwd'或Windows'win.ini'文件内容的证据,产品就容易受到攻击。实际上,它可能会发现尚未向产品供应商报告的“新”问题。
修复建议
请与供应商联系以获取更新、使用其他产品或完全禁用服务。
目前还未能明确问题所在,怀疑是undertow的设置问题,
生产环境是Linux,jfinal 4.2,jfinal-undertow 1.6
另外还有一个报告跟帖子:
https://jfinal.com/feedback/7673
一样
专门做这一行业的公司与个人更是没面子。我在 2009 年时做过北科院一个政府项目,做完以后要拿到专门的一个机构去做这类漏洞检测的工作,人家很轻松就能给你弄出一堆报告来
最后,回到你碰到的这个问题,你需要让对方重现问题是发生的过程,然后你才好修复问题
站在 jfinal 的角度,jfinal 唯一向外提供的口子就是你手动添加路由以后开放的 action,所以是不可能发生你碰到的这种事:“似乎可以使用特制的URL读取Web服务器文档目录之外的远程主机上的任意文件”
然后是 undertow,这个我认为概率也不大,如果确实有,你得让对方给出具体的重现方法