Bug: ArcGIS Server格式化参数跨网站脚本(XSS)漏洞

文章编号 : 37269
软件: ArcGIS Server 9.3, 9.3.1
操作系统: N/A
已邀请:

EsriSupport

赞同来自:

错误信息:
ArcGIS Server REST API已经发现一个跨网站脚本(XSS)的弱点。当ArcGIS REST服务的请求包含?f?参数时,就会暴露这个弱点。 这种格式的参数不会被过滤就直接反馈给终端用户的浏览器。利用这个弱点黑客可以在查询参数里植入任意的脚本或HTML。 这个缺陷影响以下产品: ArcGIS Server 9.3 and 9.3.1 .NET ArcGIS Server 9.3 and 9.3.1 Java ESRI在这篇文章里根据Common Vulnerability Scoring System(CVSS)对这个弱点进行评分,包括从低到高的风险。关于这个评分系统的详细信息可以参考Common Vulnerability Scoring System. CVSS打分: Base Score: 2.6 Access Vector: Network Access Complexity: High Authentication: None required Exploitability Score: 4.9 Confidentiality: None Availability: None Impact Score: 2.9 Confidentiality: None Integrity: Partial Availability: None
原因:
ESRI安全小组不了解任何针对这个弱点的恶意使用,这个弱点是在web应用程序安全性检测过程中发现的。

解决方法: ArcGIS Server 9.3.1 sp1将解决这个弱点。ArcGIS补丁包可以下载地址:Patches and Service Packs for ArcGIS Server.
在补丁之前,ESRI提供一些深度防御办法,显著地降低系统被攻击的可能性。可以配置三种通用的信息系统架构组件来降低或消除这个弱点的威胁:
Intrusion Prevention System (IPS)
Web Application Firewall (WAF)
Browser XSS Filters

IPS
如果你的单位有IPS,建议创建一个ArcGIS服务请求的合法的参数格式列表。?f?参数的十个合法的值在REST API output formats中可以查到。ESRI
WAF
有两个免费软件,Java用户可以用ModSecurity,.Net用户可以用URLScan。ESRI在ArcGIS Server 9.3.1的时候用这两个工具的默认配置进行初始验证。
ModSecurity
用Windows 2003 SP2, ModSecurity 2.5.10和Apache Web Server 2.2.14测试核心规则集
ModSecurity下载地址: http://www.modsecurity.org/.
配置以后再进行web service安全扫描时显示ArcGIS Server 9.3.1的XSS安全保护有了显著提高
ModSecurity可以直接添加到ArcGIS Server的web服务器,或者添加到反向代理服务器上。
开发一个类似的IPS的列表在ModSecurity上使用可以直接解决这个弱点,使风险最小化。
由于核心规则集目前与ArcGIS Manager不完全兼容,只有ModSecurity可以验证ArcGIS服务
建议不要使用blocking(只用log)并注意这两种方式的区别
URLScan
用Windows 2003 SP2, IIS和URLScan 3.1的默认配置测试,检查查询字符串中的<和>符号
URLScan 3.1下载地址: http://www.iis.net/extensions/UrlScan.
配置以后在进行web service安全扫描时显示ArcGIS Server 9.3.1的XSS安全保护有了改进
URLScan是一种简单的点击安装解决方案。但是,它没有提供WAF完整的功能。
Browser XSS Filters
新的浏览器,比如IE8,有内置的XSS过滤来保护用户。对于局域网的ArcGIS Server,浏览器默认是取消了XSS过滤的,所以任何浏览器都是有漏洞的。尽管如此,外部服务的请求默认是启动了XSS过滤的,这就为客户端机器提供了另一层的保护。



创建时间:2009-10-09
最近更新: 2010-06-17


原文链接
http://support.esrichina.com.cn/2009/1009/794.html

要回复问题请先登录注册