如何隐藏DWR class索引?
How to hide DWR class index?
DWR 在 [context root]/dwr/ 下发布了 classes 的一些索引。该索引包含指向有关服务的更多详细信息的链接。这对我来说似乎是信息泄露,我想 hide/unpublish 这些页面,这样它们就无法访问了。
如何配置 DWR 以隐藏此 class 索引?
在此处找到了一个很棒的渗透测试博客:http://gerionsecurity.com/2012/09/experiences-in-pentesting-dwr/
基本上,当您配置 servlet 时,您在 web.xml 中禁用了调试。
<servlet>
<servlet-name>dwr-invoker</servlet-name>
<servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>false</param-value>
</init-param>
</servlet>
DWR 在 [context root]/dwr/ 下发布了 classes 的一些索引。该索引包含指向有关服务的更多详细信息的链接。这对我来说似乎是信息泄露,我想 hide/unpublish 这些页面,这样它们就无法访问了。
如何配置 DWR 以隐藏此 class 索引?
在此处找到了一个很棒的渗透测试博客:http://gerionsecurity.com/2012/09/experiences-in-pentesting-dwr/
基本上,当您配置 servlet 时,您在 web.xml 中禁用了调试。
<servlet>
<servlet-name>dwr-invoker</servlet-name>
<servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>false</param-value>
</init-param>
</servlet>