记录ArcGIS Server Manager服务的网站配置文件泄露漏洞

描述

此漏洞在ArcGIS Server 10.2 for Windows上被发现，在启用了ArcGIS Server Manager服务时，通过GET请求 [主机+端口]/arcgis/manager/3370/js/../WEB-INT/web.xml 地址，任意用户可获取ArcGIS的manager应用服务配置。

风险等级：低（被泄露的文件对所有此产品用户可见，不包含机密信息）

分析

ArcGIS后台网站采用J2EE并通过tomcat侦听，物理路径位于 [ArcGIS安装位置]\Server\framework\runtime\tomcat。

在tomcat下的manager应用配置文件（即webapps\arcgis#manager\WEB-INF\web.xml，也就是被暴露的文件本身）中，存在一条对虚拟路径“3370/*”进行解析的filter-mapping节点，该节点对匹配的访问执行“BuildNumFilter”过滤器，允许通过虚拟路径访问该应用下的子文件夹。该过滤器对路径处理存在尚未研明的问题，允许访问同级匹配的WEB-INF和META-INF文件夹。

方案
将问题所在应用的web.xml的filter-mapping的匹配url-pattern拆分为3条，即从“/3370/*”改为“3370/js/*”、“/3370/css/*”和“/3370/proxy/*”。此措施似乎规避了对系统文件夹的逃避审查，但详细原理尚不明确。