润乾接口相关问题求助
dataSphereServlet;reportCenterServlet
麻烦问下,这两个接口是润乾自带的吗?
另外,服务器上集成的润乾,API 接口一般都在哪个位置存放?
以及实现接口后,必须在 WEB-INF/raqsoftConfig.xml 中添加配置吗?(项目中有两个接口存在漏洞,需要禁用,但在 raqsoftConfig.xml 中并没有找到这两个接口相关配置)
“在http://x.x.x.x/demo/servlet/dateSphereServlet?action=11&path= 处存在任意文件读取漏洞”
“在 /demo/wxlogin/../reportCenterServlet?action=38&relativePath=&fileName= 处未过滤../ 文件拼接导致读取文件可跨目录”
这是接口存在漏洞的相关信息,麻烦大佬帮忙看下!
这些是 web.xml 中配置的 servlet,如果不需要这些功能,在 web.xml 里将对应的 servlet 删掉就行,这样就不能调用这些 servlet 了。
打开 web.xml 搜下就可以看到,实际上如果只是需要报表展示功能,只保留那个 reportServlet 就行,这个是润乾的核心 servlet,其余的都可以删掉,然后 WEB-INF lib 下还有 center.jar 和 guide.jar,那两个 jar 包也删掉。
不过润乾报表也一直做产品升级,发现的漏洞一般都会解决点,您这个漏洞是在最新版下检测发现的吗?可以试下最新版,之前开发那边好像修复过对应漏洞。
服务器上目前的版本是 2022-08 的,版本确实太低了
找到了,谢谢,另外麻烦问一下,这两个接口是用于什么功能的?怕直接删掉会导致功能缺失,
如果要禁用这两个接口,直接删掉我框柱的内容就可以了吗?还需要删掉别的什么配置吗?
reportcenter 是报表中心,润乾带了一个报表中心,可以实现用户登录权限管理等,如果用户有自己的管理平台,这个报表中心可以不用
dataSphereServlet 这个是自助报表用的,终端业务人员可以在 web 端自己拖拽字段实现自助报表功能。
上面的 reportCenterServlet 我直接删掉框内的内容就可以吧?
下面那部分,我是否需要删掉 servlet 标签内的全部内容?
这个文件里 servlet 节点时配对的,以 sevlet 开头,然后 结尾
然后后边还会有个 servletmapping,把那个对应的额也删掉