这是一个创建于 3439 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://www.****.com/forward:/WEB-INF/web.xml.htm
可以非法请求到这个 web.xml 配置文件,很少用 java 不知道怎么来屏蔽这种非法请求,谷歌搜了也没看到相关的资料。
各位 v 友有类似情况和解决办法吗?
 | 1 xuhaoyangx 2016-07-27 10:09:14 +08:00 没遇到过 |
 | 2 SoloCompany 2016-07-27 10:14:58 +08:00 这明显不是 tomcat 的锅,检查你用了啥框架 |
 | 3 wudi343 OP @SoloCompany 能不能直接把这种请求 ban 调 |
| 4 wudi343 OP @SoloCompany 应该是 spring 我是运维不太可能能动他们的代码 |
| 5 SoloCompany 2016-07-27 11:04:19 +08:00 1 直接给开发报 bug 2 在 nginx 上加过滤,对所有 forward: 前缀的请求 返回 400 |
| 6 SoloCompany 2016-07-27 11:12:35 +08:00 如果希望不那么激进,可以退缩一下,仅仅对 forward:/WEB-INF/web.xml 开头的请求做限制,但,鬼知道会不会被绕过去;核心问题还是开发设计逻辑有问题,要他们赶紧处理 |
 | span class="no">7 Infernalzero 2016-07-27 11:18:02 +08:00 nginx 匹配路径拦截下就行了 |
| 8 wudi343 OP @Infernalzero 没有 nginx ,就是 windows+tomcat 的环境。 |
| 9 wudi343 OP @SoloCompany 第三方安全检测机构发来的报告只有这个 web.xml ,但是我测试了下几乎是可以遍历目录的,威胁很大。 |
 | 10 shyling 2016-07-27 13:01:22 +08:00 学到了 0 0 |
| 11 Infernalzero 2016-07-27 13:14:21 +08:00 没用 nginx 或 apache 的话那就自己写个 Filter 或者 Interceptor 拦截吧 |
 | 12 domty 2016-07-27 17:46:23 +08:00 我记得 spring 是有对静态资源的访问限制的。 也就是说包括 webroot 目录或者 resource 目录下的文件都是可以拒绝访问的。 |
| 13 wudi343 OP @domty 其实这个 htm 是后面加的,原来请求的是 web.xml ,但是直接写 http://www.****.com/forward:/WEB-INF/web.xml 会报错,加上.htm 就能读出文件了。 |
 | 14 sutra 2016-07-28 15:19:29 +08:00 给开发人员报告 bug 。 |
Select Language