发现时间:
2016-12-08
漏洞类型:
其他
所属建站程序:
其他
所属服务器类型:
通用
所属编程语言:
其他
描述:
网站存在JetBrains系列IDE的工作区文件,可以泄露整个工程的目录结构信息。JetBrains是一家捷克的软件开发公司,该公司最为人所熟知的产品是Java编程语言开发撰写时所用的集成开发环境:IntelliJ IDEA。
相关影响IDE如下如下:
* IntelliJ IDEA – 一套智慧型的Java整合开发工具,特别专注与强调程式师的开发撰写效率提升
*PHPStorm 7.0 发布,PHP 集成开发工具
*PyCharm 3发布,智能Python集成开发工具
*RubyMine -RubyMine 是一个为Ruby 和Rails开发者准备的IDE,其带有所有开发者必须的功能,并将之紧密集成于便捷的开发环境中。
*WebStorm8.0 发布,智能HTML/CSS/JS开发工具
*AppCode – 开发的ObjC的IDE,是一个XCode的替代物
危害:
通过下载workspace.xml,可直接获取整个工程的目录结构,发现敏感文件,为渗透中收集信息、发现漏洞提供了极大的便利。
解决方案:
1、删除.idea目录
2、如使用git则
修改配置文件,隐藏workspace.xml:
.gitignore 中要写上 workspace.xml
如果已经commit workspace.xml 必须执行以下命令
$ git rm --cached .idea/workspace.xml
