tomcat 7에서 실행되는 struts2 및 타일을 사용하여 응용 프로그램을 작성했습니다. 핵심 영향 취약점 검사는 "숨겨진 페이지 취약성 - 백업 웹 페이지"와 함께 5 개의 링크가 나열되었습니다. 이러한 모든 링크는 기능을 사용할 수 있도록 최종 사용자가 사용할 수 있어야합니다. 이것들은 파일이나 디렉토리를 가리키고 있지 않습니다. 그러나 회사 정책에 따라? 취약점 보고서는 아무 것도 열거하지 않고 깨끗해야합니다. 이 취약점은 사용자에게 필요한 링크이므로이 취약점이 무엇인지 모릅니다. 누군가 포인터를 줄 수 있습니까?숨겨진 웹 페이지 취약성
숨겨진/백업 페이지 취약점은 웹 응용 프로그램을 완전히 탐색했을 때 도달 할 수없는 것으로 밝혀진 웹 응용 프로그램의 페이지를 말합니다.
숨겨진 페이지 : 공격자 (개발자 일 가능성이 있음)가 백도어처럼 추가 한 권한이있는 페이지 일 수 있습니다. 웹 사이트에서 링크 된 곳이 없으므로 아무도 알지 못합니다 (또는 공격자가 예상 한 것입니다)
백업 페이지 : 예를 들어, index.html은 개발하는 동안 디버깅을 위해 훨씬 더 많은 정보가 추가 된 것으로 간주됩니다 단계. 그런 다음 사본은 향후 테스트를 위해 동일한 디렉토리에 index.bkp로 저장되며 index.html의 추가 코드는 제거됩니다. 이제는 index.bkp가 웹 사이트에 직접 링크되어 있지는 않지만 공격자가 이러한 페이지를 추측하여 악용 할 수 있습니다 ... 일부 편집자는 중간 파일을 저장하므로 백업 페이지가 발생할 수도 있습니다 ...
사용하지 않는 모든 파일이 웹 컨테이너에서 제거되었는지 확인하십시오. 페이지 백업이 필요한 경우 웹 컨테이너 외부의 다른 곳에 저장해야합니다.
취약성 검색 프로그램에서 발견 된이 취약점은 스캐너가 인식하지 못하거나 특정 할 수없는 특정 기준을 충족 한 후에 만 페이지에 연결할 수있는 경우 위양 할 수 있습니다. 예 : 보안 문자로 보호되는 페이지
위양성의 경우에는 취약점 스캐너가 페이지에 접근 할 수 없으므로 스캔이 완료되지 않았으므로입니다.
이 문제를 극복하기 위해, 스캐너 조항의 대부분은 사용자가
사용자의 특정 문제를 명확히 또는 정확하게 당신이 필요 강조하기 위해 추가 정보를 추가하세요 ... 그것은 적절한 입력을 제공하여 웹 사이트를 크롤링 도움이됩니다. 현재 작성된 내용이므로 귀하가 원하는 내용을 정확하게 말하기는 어렵습니다. How to Ask 페이지에서이 질문에 대한 설명을 참조하십시오. –
문제는 무엇을 해결해야할지 모르겠다. 숨겨진 페이지 취약점/백업 웹 페이지 취약점을 설명 할 수 있습니까? – user6400807