tomcat 400错误

最新推荐文章于 2024-05-13 05:51:56 发布
最新推荐文章于 2024-05-13 05:51:56 发布
阅读量5.3k 收藏 7
点赞数
分类专栏: 杂七杂八 文章标签: tomcat java 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingzhantianxia/article/details/120248127
版权

本片文章是对tomcat 400 错误造成信息泄露,如何进行修复进行描述,希望可以对非安全专业的互联网工作人员提供一点帮助,本片文章内容确实也是笔者最近遇到的一些问题。

漏洞描述

tomcat 发生400 错误,暴露出中间件版本、以及程序抛出的一些异常。

异常内容为

    org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:503)
	org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:502)
	org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:65)
	org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:818)
	org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1627)
	org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
	java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
	java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
	org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
	java.lang.Thread.run(Thread.java:745)

和图片有点不一样,因为这个是我从网上粘贴写来的,不过出现异常的一样的,

虽然实际危害也就那么回事,但是这个毕竟是项目上遇到的问题,打码还是最基本的职业道德。
在这里插入图片描述

原因说明

其中图片中这些异常都不是重点,重点是

在请求目标中无法找到有效字符,有效字符在RFC 7203和 RFC 3986 中定义

这个报错的英文版是

Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

就是说我们传递了无效字符,tomcat 无法处理导致报错,这个问题在高版本tomcat 中均存在,从7.0.88开始,大多数tomcat版本都会出现此问题。

截图中测试者直接使用burp Suit 传递了一个 XSS payload去测试 autoCode 参数,由于是burp 直接输入的payload, “<”、">",等特殊字符未进行url 编码,tomcat 处理不了了,而tomcat没有报500的服务器端错误,而是报的400错误(请求报文存在语法错误),这是因为,这个错误被认为是客户端的错误(tomcat 是这样认为的)。

修复方法

Tomcat增强了其安全性,并且不再允许在查询字符串中使用原始方括号。在请求中,我们有{,} 或其他符号("<",">","[","}"等),因此服务器未处理该请求。

在tomcat conf路径下的server.xml文件里面的 Connector 标签下添加属性 relaxedQueryChars:



    <Connector port="8080" protocol="HTTP/1.1"
                   connectionTimeout="20000"
                   redirectPort="8443"
                   maxHttpHeaderSize ="10240"
                   relaxedQueryChars="{,}"/>

一般直接添加这个

<Connector port="8084" protocol="HTTP/1.1" relaxedPathChars="[]|" relaxedQueryChars="[]|{}^&#x5c;&#x60;&quot;&lt;&gt;" useBodyEncodingForURI="true" connectionTimeout="20000" redirectPort="8443" URIEncoding="UTF-8"/>

多符号可以用"," 隔开,上面那些奇怪的编码是html 实体编码,内容是<、>等符号,直接输入这些符号有些会导致tomcat报错,无法启动服务的,这也是跟实施人员沟通过后才了解到的。

至于中间件版本好的隐藏,大家去百度的,懒得写了。。。。

烟雨醉沉浮
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
升级tomcat导致静态资源报错400
httxiao的博客
10-09 2922
先上结论:tomcat7.0-106之后的版本(包括8.5xx之后的版本,只是下了个较新的测试)改了DefualtServerlet类checkIfNoneMatch方法中的比较逻辑,导致用java中引号"与页面传过来被转义了accssi码的引号&-quot;(此处多加了一个符号-)进行比较,使结果不成立,返回了400。处理方法:在DefualtServerlet类中将界面中的If-None-Match对应的字符串中的引号&-quot;(此处多加了一个符号-)使用repalceAll替换成"
tomcat8 url包含|等特殊字符报错400的问题
03-09 3834
在做javaweb项目时,关于统一错误页面在开发的过程中就做过编码,并且一直都很有效,像500,404,403等常规错误码都能得到有效处理,但是400却不行,而且还暴露tomcat的版本信息,这是很严重的安全漏洞 解决方法百度和测试很多,总结如下: 问题产生: 根据rfc规范,url中不允许有 |,{,}等特殊字符,但在实际生产中还是有些url有可能携带有这些字符,特别是|还是较为常见的。在tomcat升级到7以后,对url字符的检查都变严格了,如果出现这类字符,服务器tomcat将直接返回400状态码。
请求头太长导致tomcat400
qq_42831771的博客
12-30 1267
1.server.xml 原来没有配置 maxHttpHeaderSize,默认值只有 4096 个字节(4k) 修改tomcat请求头长度限制 <Connector connectionTimeout="20000" port="8080" protocol="HTTP/1.1" redirectPort="8443" maxHttpHeaderSize="500000"/> 重启一下tomcat 2.修改application,yml 或者减少请求头报文 ...
tomcat请求url过长报400
u013701217的博客
05-31 1504
tomcat为什么url过长会报错
Tomcat--配置400 404 500自定义错误页面_tomcat自身定义404不包含项目
2401_84254057的博客
05-13 872
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
JavaWeb拦截器
weixin_30493321的博客
08-12 151
<error-page> <error-code>400</error-code> <location>/error.jsp</location> </error-page> <!-- 404 页面不存在错误 --> <error-p...
解决Tomcat出现400问题
weixin_43233003的博客
03-06 1万+
有时我们使用SSM框架时,会出现400的错误和这样的The server cannot or will not process the request due to something that is perceived to be a client error (e.g., malformed request syntax, invalid request message framing, or...
Tomcat 400报错显示tomcat信息的解决
rember0087的专栏
08-18 3514
Tomcat 400报错显示tomcat信息,这就存在着很大的安全隐患。 根据官网给出的方案需要重写ErrorReportValve处理400错误跳转到自定义页面,首先需要更改tomcat中的server.xml文件,在host中添加Valve,页面将不显示错误的详细信息。 <Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true"> <Valve className...
Tomcat升级版本出现400问题
萌兔兔MMQ!!
07-18 2478
由于Tomcat的新版本中增加了一个新特性,就是严格按照RFC3986规范进行访问解析,而RFC3986规范定义了Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(RFC3986中指定了以下字符为保留字符!根据rfc规范,url中不允许有|,{,}等特殊字符,但在实际生产中还是有些url有可能携带有这些字符,特别是|还是较为常见的。以往久远项目经过安全扫描后,发现tomcat版本问题有很多安全问题,故同大版本升级了tomcat小版本版本。...
tomcat配置自身错误页面
11-24
tomcat配置自身错误页面,直接替换tomcat本身的root文件夹即可。然后修改web.xml,具体方式详见:https://blog.csdn.net/f552126367/article/details/107999676
tomcat配置错误页面
最新发布
07-05
404页面
Tomcat中配置404自定义错误页面详解
09-30
主要介绍了在Tomcat中配置404自定义错误页面全解,需要的朋友可以参考下
Tomcat常见错误
02-22
以下是一些常见的Tomcat错误及其解决方案: 1. **无法启动Tomcat** - 错误描述:启动时出现“找不到主类”或“java.lang.ClassNotFoundException”。 - 原因分析:通常是由于`CLASSPATH`环境变量未正确设置,或者...
Tomcat 中 HTTP 400:畸形的请求语法、无效的请求信息帧或者虚拟的请求路由(控制台没有报错提示)
DZ0529的博客
05-13 1041
上述完成后代码使得在时间框输入时,写清年月日即可,Tomcat清理一下,restart一下就可以启动项目了。此处我是前端传入了日期参数,后台接收日期参数时格式不匹配导致。项目控制台中显示日期数据。
Tomcat 400错误
geejkse_seff的博客
04-10 1785
Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986 新版本的tomcat对url的参数做了比较规范的限制,必须按照RFC 7230 and RFC 3986规范,对于非保留字字符,如果不做转义处理,一律都会报The valid characters are defined in RFC 7230 and RFC 3986 错误。 org.apache
Tomcat错误400:请求头过大
姜太小白的博客
07-08 3119
Tomcat错误400:请求头过大
tomcat配置400/404/500类型的错误页面,修改项目默认路径,修改默认项目
热门推荐
tsxw001的专栏
01-03 7万+
修改项目默认路径,修改默认项目 http://xxx.xxxxxx.xxx 直接访问 找到tomcat路径中conf文件夹下server.xml文件找到 <Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true"> 修改成 <Host name="localhost" appBase="/xxx/xxx/xxx/xxx/webapps" ...
Tomcat 报错400 Java.lang.IllegalArgumentException: Invalid character found in the request target.
u010394400的博客
12-10 1629
采用get方式传参,参数中有“|”,tomcat 7报错:400 Bad Request 网上查找了下原因,记录下,以备今后使用。 错误原因: 当在浏览器中访问时 URL中带有特殊字符,如花括号冒号时,就会出现这个错误。 例如:http://localhost:8080/index.do?{id:123} 解决方法: 1、去除URL中的特殊字符; 3、使用 Post 方法提交数据 4、更换低版本的...
tomcat9 400错误无法跳转
oTianKongLan123的博客
06-08 945
为H:\apache-tomcat-9.0.60\webapps\ROOT\添加一个html页面 error.html。修改H:\apache-tomcat-9.0.60\conf\server.xml。但是改完发现400无法拦截,只得去国外论坛看了下。不得不说还是国外大佬牛啊 国内搜了一个上午。下web.xml进行修改。
tomcat常见错误
09-05
常见的Tomcat错误包括404错误、运行启动错误和乱码问题。404错误是指当用户请求的资源不存在时,Tomcat无法找到对应的文件或路径,导致页面无法访问。运行启动错误可能是由于Tomcat配置文件的错误或者端口被占用等原因导致Tomcat无法正常启动。乱码问题则可能是由于编码设置不正确或者字符集不匹配导致的显示问题。 对于解决这些常见错误,可以尝试以下几个方法: 1. 检查请求的文件或路径是否存在,确保文件名、路径名大小写一致,并确保文件被正确部署到Tomcat的webapps目录下。 2. 检查Tomcat的配置文件,例如server.xml,确保配置文件中的端口号、数据库连接等信息正确无误。 3. 如果遇到乱码问题,可以检查页面的编码设置,确保页面的编码与浏览器的编码一致。另外,也可以通过在Tomcat的配置文件中指定字符集来解决乱码问题。 4. 如果以上方法都无效,可以尝试重新安装Tomcat,并确保安装过程中没有出现错误。 总的来说,Tomcat作为一个功能丰富的Web容器,常常会遇到各种错误。通过仔细检查文件路径、配置文件和编码设置等方面,可以解决大部分常见的Tomcat错误。 <span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [tomcat常见的错误与解决方案小结](https://blog.csdn.net/qq_36838191/article/details/91490530)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [tomcat常见错误](https://blog.csdn.net/ancheng9625/article/details/101919708)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值