(本文仅供参考)
问题说明
安全渗透测试报告中反馈存在如下接口泄露漏洞:
漏洞地址
http://ip:port/smartbi/vision/services/AnalysisReportService?wsdl
http://ip:port/smartbi/vision/services/DataSourceService?wsdl
http://ip:port/smartbi/vision/services/BusinessViewService?wsdl
http://ip:port/smartbi/vision/services/SimpleReportService?wsdl
http://ip:port/smartbi/vision/services/CatalogService?wsdl
解决方案
对于wsdl接口,不同的项目不同的企业,使用接口的标准是不一样的,可能有一些企业是需要wsdl,有些不需要,所以目前开发了wsdl接口用于二次开发,以满足非J2EE平台的客户环境(如.Net平台) 实现与Smartbi系统的集成要求,当需要对该接口进行调用时,会需要进行用户验证,关于wsdl的说明请参考:https://history.wiki.smartbi.com.cn/pages/viewpage.action?pageId=44500302
这些接口的作用可查看wiki文档:API 文档
若项目是上有更高的安全需求,不涉及该接口的调用,需要屏蔽wsdl相关的访问链接,可通过如下方式进行屏蔽:
在smartbi\WEB-INF\web.xml 删除如下部分的脚本,即可屏蔽webservice的功能,需注意的是每次进行war包更新时都要重新进行删除,如不希望每次都进行移除的,也可通过定制进行屏蔽:
