http://www.****.com/forward:/WEB-INF/web.xml.htm
可以非法请求到这个 web.xml 配置文件,很少用 java 不知道怎么来屏蔽这种非法请求,谷歌搜了也没看到相关的资料。
各位 v 友有类似情况和解决办法吗?
1
xuhaoyangx 2016-07-27 10:09:14 +08:00
没遇到过
|
2
SoloCompany 2016-07-27 10:14:58 +08:00
这明显不是 tomcat 的锅,检查你用了啥框架
|
3
wudi343 OP @SoloCompany 能不能直接把这种请求 ban 调
|
4
wudi343 OP @SoloCompany 应该是 spring 我是运维不太可能能动他们的代码
|
5
SoloCompany 2016-07-27 11:04:19 +08:00
1 直接给开发报 bug
2 在 nginx 上加过滤,对所有 forward: 前缀的请求 返回 400 |
6
SoloCompany 2016-07-27 11:12:35 +08:00
如果希望不那么激进,可以退缩一下,仅仅对 forward:/WEB-INF/web.xml 开头的请求做限制,但,鬼知道会不会被绕过去;核心问题还是开发设计逻辑有问题,要他们赶紧处理
|
7
Infernalzero 2016-07-27 11:18:02 +08:00
nginx 匹配路径拦截下就行了
|
8
wudi343 OP @Infernalzero 没有 nginx ,就是 windows+tomcat 的环境。
|
9
wudi343 OP @SoloCompany 第三方安全检测机构发来的报告只有这个 web.xml ,但是我测试了下几乎是可以遍历目录的,威胁很大。
|
10
shyling 2016-07-27 13:01:22 +08:00
学到了 0 0
|
11
Infernalzero 2016-07-27 13:14:21 +08:00
没用 nginx 或 apache 的话那就自己写个 Filter 或者 Interceptor 拦截吧
|
12
domty 2016-07-27 17:46:23 +08:00
我记得 spring 是有对静态资源的访问限制的。
也就是说包括 webroot 目录或者 resource 目录下的文件都是可以拒绝访问的。 |
13
wudi343 OP @domty 其实这个 htm 是后面加的,原来请求的是 web.xml ,但是直接写 http://www.****.com/forward:/WEB-INF/web.xml 会报错,加上.htm 就能读出文件了。
|
14
sutra 2016-07-28 15:19:29 +08:00
给开发人员报告 bug 。
|