故障排查：Java Web程序未通过Acunetix的漏洞检查

农民工老王

已于 2023-04-16 18:20:59 修改

阅读量5.3k

点赞数 9

分类专栏： Java 文章标签： java tomcat Acunetix

于 2023-01-13 22:43:26 首次发布

本文链接：https://blog.csdn.net/monarch91/article/details/128648098

版权

Java 专栏收录该内容

16 篇文章 2 订阅

订阅专栏

博客主页：https://tomcat.blog.csdn.net
博主昵称：农民工老王
主要领域：Java、Linux、K8S
期待大家的关注💖点赞👍收藏⭐留言💬

故障详情

Acunetix是一款网络漏洞扫描软件，它可以检测网络的安全漏洞。在最近的工作中，接到售后同事反馈，用户通过Acunetix扫描我经手开发的java web项目在Acunetix的漏洞扫描过程中，出现大量报错，未能通过检查。

经过了解后得知，Acunetix会自动地在每个接口对应的URL后面，加上各种奇怪的字符串，如：" 12345’“'”);|]*%00{%0d%0a<%00>%bf%27’ðŸ’© "，就得到了下面这个奇怪的URL：

https://test.laowang.cn/app/help/12345'"\'\");|]*%00{%0d%0a<%00>%bf%27'ðŸ’©.htm

Acunetix的漏洞扫描，就是访问这个URL，并查看其返回值是否有问题。而上面这个URL的访问，会导致Tomcat报“java.lang.IllegalArgumentException: 在请求目标中找到无效字符。”

如下图所示：
在这里插入图片描述实际上这个报错是正常的，是没有安全隐患的，但是Acunetix依然认为这些报错所展示的堆栈信息是非常敏感的，可能被不法分子利用。这就是Acunetix扫描到的所谓的“安全漏洞”，如下图所示：

请添加图片描述

问题原因

面对这个问题，我明确的知道，这不是我开发的war包的问题，而是用户运行war包的Tomcat的配置不对。但作为乙方，我们有必要给甲方提供一个解决方案，让用户的Tomcat不再返回那些堆栈信息。
所以解决这个问题，就是修改Tomcat的配置文件。

注意事项

解决问题的第一步就是在我的开发环境中复现这个报错，我随机复制Acunetix扫描的两个URL，然后尝试访问。

https://test.laowang.cn/app/login?pass=h-5'"/'/");|]*%00{
https://test.laowang.cn/app/help/12345'"\'\");|]*%00{%0d%0a<%00>%bf%27'ðŸ’©.htm

第一个URL还好，通过浏览器都能访问。但第二个URL，依次通过谷歌浏览器、火狐浏览器、Postman去访问都遇到了问题。谷歌浏览器检测到URL中有异常字符，就会直接跳转到谷歌搜索。火狐浏览器和Postman不能正常识别部分字符，并产生了乱码。

在这里插入图片描述
幸好，公司的一位大佬告诉我用Fiddler可以规避这些问题。

在这里插入图片描述访问效果如下：

在这里插入图片描述

两次失败的尝试

relaxedPathChars & relaxedQueryChars

最开始，售后同事没有给我提到Acunetix，她只是说有些接口都报同一个错误，并发过来一个示例接口。访问后，我发现这个报错是我遇到过的。在Tomcat的server.xml中的Connector节点内加上 relaxedPathChars="|{}[],%" relaxedQueryChars="|{}[],%就可以
双引号内的字符可以根据你的实际需求来加，需要通过什么字符都可以加上，我在测试时发现有“\”，所以我最终改出来的Connector节点如下所示：

<Connector 
	port="443" protocol="HTTP/1.1" SSLEnabled="true"  maxThreads="150" scheme="https" 
	secure="true"    clientAuth="false" sslProtocol="TLS"  URIEncoding="UTF-8"
	keystoreFile="conf/tomcat.keystore" keystorePass="024116cb67"  
	relaxedPathChars="|{}[],%\"    relaxedQueryChars="|{}[],%\"
/>

自测示例接口的访问是没问题的，我以为解决问题了，就将这个方案交给了售后同事。一天后，售后同事反馈，并没有解决问题，并远程演示了Acunetix的漏洞扫描。这时我才明白，原来不是某几个固定URL的报错，而是Acunetix会随机生成异常字符，并组装几千个URL进行访问。所以这个解决方案是不对的，毕竟不可能把全部的异常字符写上去，而且通过全部的异常字符也是不安全的。

error-page

既然目标是不显示那些堆栈信息，我第一个想到的是在Tomcat全局设置一个自定义的400的错误页面。
我在Tomcat的webapps\ROOT新增了400.html页面，并在conf/web.xml中的web-app节点的下一层加入了如下内容：

<error-page>
    <error-code>400</error-code>
    <location>/400.html</location>
</error-page>

但访问后未生效。我又加入了如下内容：

<error-page>  
    <exception-type>java.lang.IllegalArgumentException</exception-type>  
    <location>/400.html</location>  
</error-page>

依然未生效，为了排查我填写的格式和文件位置是否存在问题，我按照相同的方法，设置了404错误页面，测试是能正常访问的。
原来，高版本的Tomcat改进了错误处理(已验证了Tomcat8，Tomcat9属于这种情况) ，将某些的错误，尤其是发生在请求处理开始之前的错误，传递给标准错误处理机制，而不仅仅是返回错误代码。因此通过设置error-page无法修改400的错误页面。

解决方案：ErrorReportValve

通过查阅资料得知，在server.xml中的Host//Engine/Service/Server节点下添加ErrorReportValve如下配置可以隐藏报错堆栈信息：

<Valve className="org.apache.catalina.valves.ErrorReportValve" 	showReport="false" />

我就这样解决了问题。

测试如下：
在这里插入图片描述
如果希望能隐藏Tomcat服务器的详细（上图中的“Apache Tomcat/9.0.36”），还可以加上 showServerInfo="false"。
如果希望自定义错误页面，还可以加上errorCode.${error-code}="${错误页面路径}l" 。

<Valve  className="org.apache.catalina.valves.ErrorReportValve"
		errorCode.400="webapps/ROOT/400.html" 
		showReport="false"
		showServerInfo="false" 
/>