漏洞修复案例:ArcGIS Server REST 服务目录敏感信息泄露

1.漏洞概述

风险名称:ArcGIS REST /arcgis/rest/services/ 敏感信息泄露漏洞

风险等级:中危

漏洞原理:ArcGIS Server 安装后,默认启用"服务目录 (Services Directory)"功能。该功能提供了一个无需身份验证的 Web 界面(https://<server>:6443/arcgis/rest/services/),用于浏览和发现已发布的所有 GIS 服务。在未授权的情况下,攻击者可直接访问此页面,获取服务器上所有服务的详细信息,包括服务名称、类型、图层结构、甚至潜在的数据源元数据。若此服务暴露于公网,将为后续的针对性攻击(如服务滥用、数据窃取等)提供便利。

2.风险影响

信息泄露:攻击者可枚举服务器上所有可用的 GIS 服务。

攻击面扩大:泄露的服务信息可作为进一步渗透测试或攻击的入口点。

合规风险:违反了最小权限和安全默认配置的安全原则。

3.修复目标

禁用 ArcGIS Server 的"服务目录"功能,强制所有对 REST API 的访问都必须通过有效的身份认证,从而彻底消除此信息泄露风险。

4.详细修复步骤

为确保操作的严谨性,请遵循以下步骤进行修复:

(1).登录管理后台

https://localhost:6443/arcgis/admin/

输入siteadmin账户密码

(2)定位安全配置

在管理界面中,依次导航system --handlers --rest--servicesdirectory

(3) 禁止服务目录

点击edit,Services Directory Enabled 取消勾选 然后保存

5.修复效果验证

验证方法:在修复操作完成后,尝试再次访问rest服务目录页面

https://localhost:6443/arcgis/rest/services/

预期结果:页面将不再显示服务列表,而是返回 HTTP 403 Forbidden 错误(或类似的访问拒绝提示)。

这明确表明服务目录已被成功禁用,未授权用户无法再获取任何敏感信息。

结论:至此,该敏感信息泄露漏洞已得到有效处置。

相关推荐
世***y6 小时前
开展夏季安全大检查 排隐患夯实安全基础
安全
一键生成网站7 小时前
AI原型工具企业需求分析:私有化部署与安全协作选购指南
人工智能·安全·需求分析·
星恒讯工业路由器7 小时前
三大工业以太网协议选型对比
网络·物联网·ethercat·profinet·ethernet/ip·工业以太网协议
xiao5kou4chang6kai47 小时前
GIS数据制备,空间分析与高级建模
arcgis·gis·空间数据
春卷同学7 小时前
HarmonyOS掌上记账APP开发实践第25篇:Image 组件高级用法 — 资源引用、网络图片与首字符占位方案
网络·华为·harmonyos
mounter6257 小时前
从内存隔离到运行时防线:透视 Linux 内核安全强化的博弈与演进
linux·网络·安全·linux kernel·kernel
chenyulin45459 小时前
企业微信API二次开发:万级并发回调下的极致幂等性设计与防重放架构实战
大数据·人工智能·安全·架构·企业微信
Bug退散师9 小时前
多路IO复用[select版TCP服务器与poll版TCP服务器]与常用网络编程函数详解
linux·服务器·c语言·网络·驱动开发·tcp/ip
Acrellea11 小时前
固态变压器(SST)热管理破局:安科瑞交直流专属测温方案护航无人值守运维
运维·网络
CypressTel11 小时前
JADEPUFFER暴露企业安全防御新挑战——赛柏特安全观察
安全