struts2とtomcat7で動作するタイルを使用してアプリケーションを作成しました。コア・インパクトの脆弱性のスキャンは、「隠しページの脆弱性 - バックアップWebページ」で約5つのリンクのリストに戻ってきました。エンドユーザーがこれらのリンクをすべて利用できるようにして、機能を使用できるようにする必要があります。これらはファイルやディレクトリを指していません。しかし、会社の方針どおりに??脆弱性レポートは、何も表示されずにきれいになるはずですこの脆弱性は、ユーザーにとって必要なリンクなので、私はこの脆弱性が何であるかはわかりません。 誰かに私にいくつかのポインタを教えてもらえますか?隠しWebページの脆弱性
隠された/バックアップページの脆弱性とは、Webアプリケーションを完全に閲覧したときに到達不能であると判明したWebアプリケーションのページを指します。
隠しページ:攻撃者(おそらく開発者)によって追加された特別な権限をバックドアとして持つページである可能性があります。 Webサイトにリンクされている場所がないため、誰もそれについて知りません(攻撃者が期待するものです)
バックアップページ:例えば、index.htmlには開発中のデバッグ情報段階。その後、コピーは将来のテストのために同じディレクトリにindex.bkpとして保存され、index.htmlの余分なコードは削除されます。今、index.bkpはウェブサイトに直接リンクされていませんが、攻撃者はそのようなページを推測してそれらを誤用する可能性があります... バックアップページは、一部のエディタが中間ファイルを保存する場合に発生することがあります...
すべての未使用ファイルがWebコンテナから削除されていることを確認してください。ページのバックアップが必要な場合は、Webコンテナの外部に保存する必要があります。
脆弱性スキャナによって検出されたこの脆弱性は、特定の条件が満たされた後にページにアクセスできる場合、スキャナが認識できない、またはできない場合に誤検知する可能性があります。例:CAPTCHAで保護されているページ。
偽陽性の場合は、脆弱性スキャナがページにアクセスできなかったため、スキャンが完了していないことに気付く必要があります。それは適切な入力を提供することで、Webサイトをクロールするのに役立つユーザーのスキャナの提供のほとんど、この問題を克服するために
...
あなたの特定の問題を明確にしたり、必要な正確に何を強調表示するために、追加の詳細情報を追加してください。現在書かれているとおり、あなたが求めていることを正確に伝えるのは難しいです。この質問を明確にする方法については、How to Askページを参照してください。 –
問題は解決するべきものがわかりません。隠されたページの脆弱性/バックアップWebページの脆弱性を説明できますか? – user6400807