Appscan 检测到主机名/管理器的隐藏目录

Question

Appscan 在我的应用程序中使用 URL https://10.106.215.110/manager 调用了 api，其中显示 403 访问被拒绝。 现在我想将此消息更改为 404。

谁能指导我。提前致谢。

PS 我有两个应用程序在这个主机名中运行。我正在使用 tomcat 作为服务器，我不想更改 tomcat 中的任何内容。

Answer 1

如果您不想更改 tomcat 中的任何内容，可以在代码本身中更改状态码。

public void sendError(int code, String message) sendError 方法发送一个状态码（通常为 404）以及一条在 HTML 文档中自动格式化并发送到客户端的短消息。

如果是Java代码，请参考以下链接： http://www.informit.com/articles/article.aspx?p=29817&seqNum=7

在 php 中也有方法。

int http_response_code ([int $response_code])

您可以在 php 文档手册中找到有关此方法的更多信息。

Answer 2

当服务器在尝试访问有效的应用程序目录时响应“403 Forbidden”错误时，存在隐藏目录枚举问题。通过查看服务器的“403 Forbidden”响应检测到隐藏目录。攻击者将尝试通过猜测名称或发起暴力攻击来访问应用程序中的多个目录。如果目录不存在，服务器通常会响应“404 Not Found”错误，但是如果存在有效目录，则服务器会响应“403 Forbidden”错误。攻击者可以利用响应中的这种差异来枚举应用程序目录和文件结构。隐藏目录的存在允许攻击者通过查看“403 Forbidden”服务器响应来收集有关应用程序文件和目录结构的信息。攻击者可以通过研究应用服务器抛出的不同错误响应来列出服务器目录。

解决方案是借助 web.config 文件制作自定义错误页面。

此时，开发人员可以通过在 web.config 页面中进行配置来处理如何向用户显示更好的错误页面。我们需要设置几个属性。 详情请查看以下链接。

https://www.c-sharpcorner.com/UploadFile/092589/custom-error-page-in-Asp-Net/

谢谢