ArcgisServer屏蔽服务访问页面等安全漏洞

1 信息遍历
通过Arcgis Server自身配置进行设置。本机测试通过。
1.1 配置步骤
打开如下地址
http://ip:6080/arcgis/admin/system/handlers/rest/servicesdirectory

点击 edit，将Services Directory Enabled 的勾选去掉，保存。

 1.2 设置后效果

 2 不安全的域传送漏洞

删除Arcgis Server 安装目录下的 crossdomain.xml。

 

3 帮助文档泄漏
删除ArcgisServer目录下的help目录里面相关文件。

 

详细操作如下
help目录下共有gp、samples、SDK和server_help四个目录，分别介绍如下：
gp：保留，内部无帮助文档；
保留samples目录和下级的data和java两个目录，但删除data和java中的内容；
保留SDK目录和下级的SOAP和REST两个目录，但删除SOAP和REST两个目录中的内容；
保留server_help目录和下级的WEB-INF目录，删除下级的en目录。

4 https2http
http://resources.arcgis.com/zh-cn/help/main/10.1/index.html#//015400000600000000

4.1 配置证书

登录到 ArcGIS Server 管理员目录：http://[主机名称]:6080/arcgis/admin。
导航到计算机 > [计算机名称] > sslcertificates。

4.2 启用SSL
传输层安全性协议（英语：Transport Layer Security，缩写作TLS），及其前身安全套接层（Secure Sockets Layer，缩写作SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。网景公司（Netscape）在1994年推出首版网页浏览器，网景导航者时，推出HTTPS协议，以SSL进行加密，这是SSL的起源。IETF将SSL进行标准化，

 

 

————————————————

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

原文链接：https://blog.csdn.net/weixin_43135696/article/details/104622112