漏洞描述
ArcGIS REST 服务目录为系统中所有的 ArcGIS Server Web 服务以及可通过 REST 执行的操作提供了一种基于 HTML 的可浏览的表现方式。ArcGIS REST 服务目录会暴露系统发布的服务,通过点Web界面上的链接可以获取到系统服务敏感数据。当不希望用户浏览系统中的服务列表、在 Web 搜索中查找系统中的服务或通过 HTML 表单请求系统中的服务时,建议在生产系统中禁用服务目录功能。
FOFA: title="ArcGIS"
arcgis-rest-service-directory-traversal: Arcgis REST 服务目录浏览
PoC代码[已公开]
id: arcgis-rest-service-directory-traversal
info:
name: Arcgis REST 服务目录浏览
author: zan8in
severity: medium
verified: true
description: |
ArcGIS REST 服务目录为系统中所有的 ArcGIS Server Web 服务以及可通过 REST 执行的操作提供了一种基于 HTML 的可浏览的表现方式。ArcGIS REST 服务目录会暴露系统发布的服务,通过点Web界面上的链接可以获取到系统服务敏感数据。当不希望用户浏览系统中的服务列表、在 Web 搜索中查找系统中的服务或通过 HTML 表单请求系统中的服务时,建议在生产系统中禁用服务目录功能。
FOFA: title="ArcGIS"
reference:
- https://cloud.tencent.com/developer/article/2149231
tags: arcgis,directorytraversal
created: 2023/07/26
rules:
r0:
request:
method: GET
path: /arcgis/rest/services
expression: |
response.status == 200 && response.body.bcontains(b"Folder: /") && response.body.bcontains(b"ArcGIS REST Services Directory")
expression: r0()