Предисловие

Непрерывные обновления: систематизируйте уязвимости, обнаруженные в ходе тестирования на проникновение (включая описание уязвимостей, уровень уязвимости, проверку уязвимостей и предложения по устранению). Мы не будем углубляться в различные методы постэксплуатации или обхода уязвимостей. Процесс проверки уязвимостей не ограничивается. статьи Способ в котором может доказать наличие уязвимости.

0x01 Описание уязвимости

- Arcgis REST Каталог услуг -

ArcGIS REST Каталог услуги все в системе ArcGIS Server Web услуги и доступны через REST Выполняемая операция обеспечивает метод, основанный на HTML Доступное для просмотра представление. ArcGIS REST Каталог услуги будут предоставлять услуги, опубликованные системой, и вы сможете получить конфиденциальные данные системных служб, щелкнув ссылки в веб-интерфейсе. Если вы не хотите, чтобы пользователи просматривали список услуг в системе, в Web Выполните поиск услуг в вашей системе или по HTML При формировании запроса на услуги в системе рекомендуется отключить Каталог в производственной системе. услуг Функция。

уровень уязвимости 0x02

0x03 Проверка уязвимости

Посетите каталог веб-сайта/arcgis/rest/services, и проверка показала, что Каталог услугjx и Утилиты существуют в системе.

Посетите Каталог услуг/arcgis/rest/services/jx и проверьте, чтобы просмотреть подкаталог службы публикации системы.

исправление ошибки 0x04

1. Отключить Каталог услуги функция, изменить Arcgis ServerКонфигурация：Доступ через браузервеб-сайтArcgisКаталог администратора/arcgis/admin,и войдите под учетной записью с правами администратора,нажавsystem>handlers>rest>servicesdirectory>editприйти в гости Каталог услуги в настройках снимите галочку с услуг Directory Включено и нажмите «Сохранить», чтобы сохранить.