记录一次Tomcat 8.45 Invalid character found in the request target.遇到得坑

最新推荐文章于 2024-03-25 14:20:55 发布
最新推荐文章于 2024-03-25 14:20:55 发布
阅读量939 收藏 1
点赞数
文章标签: 400 bad request tomcat8.45
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h343554668/article/details/101193787
版权

问题描述:

项目web容器使用得是Tomcat8.45,项目上线前使用AWVS扫了一下,其中有一个Application error message中危安全漏洞,会暴露服务器版本等信息。原因是awvs发了个请求,请求项目得某个静态资源文件,如:/project/a.jpg,但是它传了个参数12345'"\'\");|]*%00{%0d%0a%bf%27'e???,完整的请求如下:

http://ip:port/project/a.jpg?12345'"\'\");|]*%00{%0d%0a%bf%27'e???,这个请求因为包含了{} []等字符导致400 bad request

网上查了查:这是因为Tomcat严格按照 RFC 3986规范进行访问解析,而 RFC 3986规范定义了Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(RFC3986中指定了以下字符为保留字符:! * ’ ( ) ; : @ & = + $ , / ? # [ ])。传入的参数中有"{"不在RFC3986中的保留字段中,所以会报这个错。

 

解决思路:

       案例来说这种错误信息在项目得web.xml或者tom猫得web.xml配置个<error-page>即可,但是无论我如何配置,其他得错误都可以跳转到配置好得错误页面,唯独这个请求不跳转错误页面,依然我行我素的使用tomcat默认的错误页面。

       然后接着网上查资料,给出的解决办法如下:Tomcat 7.0.76, 8.0.42, 8.5.12 这些版本之后可以定义requestTargetAllow 属性来允许禁止的字符。在tomcat的 catalina.properties文件中添加这一句:

tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}

   出乎意料之外,依然不好使。。。。。。。。。。。。。我都要炸了。

   最后天我绝人之路,查看官方文档的tomcat.util.http.parser.HttpParser.requestTargetAllow说明发现一段话This system property is deprecated. Use the relaxedPathChars and relaxedQueryChars attributes of the Connector instead

激动啊,然后修改server.xml文件,Connector属性增加relaxedQueryChars配置,修改为如下:

<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" relaxedQueryChars="[]|{}^&#x5c;&#x60;&quot;&lt;&gt;" redirectPort="8443" />

问题解决。

 

补充一句:在下现在还搞不清配置好的错误页面为什么不跳转,欢迎大家留言赐教,或者邮箱交流504788748@qq.com

h343554668
关注
[论文笔记]ON LAYER NORMALIZATION IN THE TRANSFORMER ARCHITECTURE
日积月累,天道酬勤
08-18 1857
通过将层归一化放到残差连接内部,所谓的Pre-LN的做法,可以安全地移除需要调参的学习率预热阶段,并且还可以提升Transformer的训练速度。
s>/<s>.css?12345‘“\‘\“);|]*%00{%0d%0a<%00>%bf%2项目检测问题Application error message
Crazy的博客
08-25 2175
问题描述:Application error message Acunetix Security Audit 使用工具扫描项目时扫描出来的问题 Web Server Details Path Fragment input /[*]/<s>/<s>-<n>.<n>/<s>/<s>/<s>.css was set to 12345'"\'\");|]*%00{%0d%0a<%00>%bf%27'💡 Pat
tomcat漏洞扫描Application error message和Error message on page
oatmeal2015的博客
06-24 6171
当服务器出现错误的时候,发生500错误时,有关服务器出现的问题信息,会展现在浏览器的页面上Tomcat的路径,这样就会把服务器的路径暴露在对服务器攻击的攻击者,攻击者可以利用这些信息进行攻击,所以需要我们处理这些错误的提示信息! 如果服务器发生500错误,这就需要我们在tomcat的web.xml的<web-app>中添加相应的配置,这就会把我们的配置,并设置相应的提示页面,这样就不...
tomcat中文问题的解决
weixin_33922672的博客
11-14 313
tomcat中文问题的解决第一,存文件必须以一种编码存;读文件也必须以一种编码读,如不特别设置,去系统默认的编码,中文windows为GBK编码。从.java->.class过程是,先编写.java文件并按莫种编码方式保存,然后用javac方法编译此文件,注意如.java没按系统默认编码保存则要带encoding参数指明实际编码,否则出错,生成的.class文件存为系统...
故障排查:Java Web程序未通过Acunetix的漏洞检查
农民工老王的博客
01-13 5546
本文介绍了如何隐藏Tomcat400状态时的报错信息,记录了Java Web程序未通过Acunetix的漏洞检查 这一故障的解决过程。
浅谈“异常信息泄露(应用程序错误)”
→_→
07-16 8591
一:漏洞名称: 未自定义统一错误页面导致信息泄露,抛出异常信息泄露,错误详情信息泄漏 AWVS漏洞名称如下: Application error message Error message on page ASP.NET error message 描述: 1.如果攻击者通过伪造包含非应用程序预期的参数或参数值的请求,来探测应用程序,那么应用程序可能会进入易受攻击的未定义状态。攻击者可以从应用程序对该请求的响应中获取有用的信息,且可利用该信息,以找出应用程序的弱点。 错误.
pcre-8.45.zip
03-15
PCRE 库是一组函数,它们使用与 Perl 5 相同的语法和语义实现正则表达式模式匹配。PCRE 有自己的本机 API,以及一组与 POSIX 正则表达式 API 对应的包装器函数。PCRE库是免费的,甚至可用于构建专有软件。
vcpkg-pcre-8.45-windows-x86-64.zip
09-23
标题中的“vcpkg-pcre-8.45-windows-x86-64.zip”表明这是一个针对Windows 64位平台的压缩包,其中包含了版本为8.45的PCRE(Perl Compatible Regular Expressions)库。PCRE是一个强大的正则表达式库,广泛应用于...
pcre-8.45.tar.bz2
01-13
《PCRE库详解:以pcre-8.45.tar.bz2为例》 PCRE(Perl Compatible Regular Expressions)是一个开源库,它提供了与Perl语言兼容的正则表达式功能。在我们的示例中,"pcre-8.45.tar.bz2" 是一个包含PCRE库版本8.45源...
pcre-8.45.tar.gz
12-06
标题中的“pcre-8.45.tar.gz”是一个源代码压缩包,它包含了PCRE(Perl Compatible Regular Expressions)库的版本8.45。PCRE是一个C语言编写的库,提供了正则表达式匹配的功能,广泛应用于各种软件开发中,尤其是与...
POKEMON.csv
11-14
pokemon数据集,里面包含了pokemon的name, type,total,HP,ATTACK,DEFENSE,SP.att,Sp.def,speed,Generation,Legendary, 这是一个很有趣的数据,希望能够帮助大家
Programming Microsoft Windows Forms(Charles Petzold) English Version
02-23
审核的时候能把这个删了吗,这个章节有问题,不要误导别人了。 大师(Charles Petzold)作品, 亚马逊4星评价, windows forms入门必看。虽然是10年前的书,但值得一看, 可惜没有出版中文版。
3322希网动态更新器V1.2
07-31
希网3322动态域名更新工具,对密码进行简单加密,从一定程度上保护了用户账号的安全,可从外部网站获取本机公网IP,方便通过路由上网的朋友使用。 本次更新增加了获取域名方式的选项,方便不同爱好的朋友的需求。
异常信息泄露 应用程序错误泄露 原理以及修复方法
最新发布
it知识分享 free for nothing..
03-25 1329
异常信息泄露 应用程序错误泄露 原理以及修复方法
application/x-www-form-urlencoded方式对post请求传参
v_loading的博客
12-31 4008
application/x-www-form-urlencoded方式对post请求传参 问题 vue项目中,axios用application/x-www-form-urlencoded方式对post请求传参,但是按正常的data方式传一直获取不到参数。 实现 async setToken() { /* let data = { grant_type: 'client_credentials', client_id: '62vwjyr7tdeizy0dx4',
AWVS学习
lalavvv的博客
07-08 966
一次接触AWVS,有些东西仍然没搞明白,欢迎大家学习
常见web漏洞(awvs、nessus)验证方法小记-中危漏洞
weixin_43875708的博客
03-12 1万+
1.【中危】不安全的Javascript库(Vulnerable Javascript library) 漏洞描述 SWFObject库 SWFObject是一个免费的开放源代码工具,用于在网站中嵌入swf内容,SWFObject在Internet Explorer中进行动态嵌入的方法,以使用更友好的W3C方式创建。网站正在使用易受攻击的Javascript库,此版本的Javascript库报告了...
Application error message 这个漏洞
热门推荐
非衣鲲化的博客
05-09 1万+
问题描述:这个漏洞是因为前台参数传到后台的时候属性没有对应上导致解决方案:解决的方式有三种:1.该后台对应的实体中需要有各自属性的set/get方法。2.将这两个属性放置到try...catch...语句中就行了。3.如果还是不可以那就得前台代码对这两个属性进行验证,确保传递到后台参数的格式类型与后台的数据类型对的上。...
spring boot 异常处理解决漏洞扫描的application error message的问题
非衣鲲化的博客
07-02 8960
由于在漏洞扫描的时后,controller 中的 user 对象属性 strName 接收到的是strName[]= 所以会报一个异常给前台 导致漏洞扫描的时候出现Application error message 的问题 解决办法: 再controller中添加异常处理 2. ExceptionHandler 应用 熟悉 SpringMVC 的人应该都知道 @Except...
pcre-devel-8.45-5
06-25
版本号中的8.45代表PCRE库的主版本号和次版本号,5表示修复问题的次数。 安装pcre-devel可以让开发者使用PCRE的函数和数据结构来编写程序,以识别、匹配、解析和转换字符串。正则表达式是一种强大的字符串匹配工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值