欧朋浏览器多站配置不当泄漏敏感信息

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

### 简要描述: J2EE架构安全 ### 详细说明: ``` 关于WEB-INF WEB-INF是Java的WEB应用的安全目录。所谓安全就是客户端无法访问,只有服务端可以访问的目录。 WEB-INF目录下的敏感目录及文件: classes目录(包含该应用核心的java类编译后的class文件及部分配置文件) lib目录(所用框架、插件或组件的架包) web.xml(重要的配置文件) ``` 泄漏点#1. ``` http://59.151.113.213/WEB-INF/web.xml http://59.151.113.213/WEB-INF/spring/webmvc-config.xml http://59.151.113.213/WEB-INF/freemarker/layouts/component.xml http://59.151.113.213/WEB-INF/freemarker/layouts/layouts.xml ``` 泄漏点#2. ``` http://59.151.113.240/WEB-INF/web.xml ``` ### 漏洞证明: 使用的是Spring+Freemaker: Web.xml: [<img src="https://images.seebug.org/upload/201501/29125940d3ea3656976d549d8629090101aff381.png" alt="03.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/29125940d3ea3656976d549d8629090101aff381.png) Freemaker模版文件: [<img src="https://images.seebug.org/upload/201501/291303029c213adf0f51ec98286fd7db6edaf583.png" alt="04.png" width="600"...

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息