tomcat http status 400 – bad request_Tomcat爆出高危漏洞

最新推荐文章于 2023-05-31 11:08:06 发布
最新推荐文章于 2023-05-31 11:08:06 发布
阅读量807 收藏 1
点赞数
文章标签: tomcat http status 400 – bad request
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39657125/article/details/111358697
版权
作者:Hu3sky@360CERT 原文链接: https://www.anquanke.com/post/id/199448#h2-0

0x01 漏洞背景

2020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞

Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。

CNVD-2020-10487/CVE-2020-1938是文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件、源代码等。

0x02 影响版本

  • Apache Tomcat 9.x < 9.0.31
  • Apache Tomcat 8.x < 8.5.51
  • Apache Tomcat 7.x < 7.0.100
  • Apache Tomcat 6.x

0x03 漏洞分析

3.1 AJP Connector

Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。在Apache Tomcat服务器中我们平时用的最多的8080端口,就是所谓的Http Connector,使用Http(HTTP/1.1)协议 在conf/server.xml文件里,他对应的配置为 

 



                

        

        




    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  weixin_39657125
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
【亲测】tomcat 请求url中带有特殊符号{} | 返回400的问题

				
			

			

				

					月落星沉
				

				

					11-29
					
					2590
					
				

			

		

		

			
				
问题描述:
	前台:
HTTP Status 400 – 错误的请求
Type 异常报告
消息 Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
描述 由于被认为是客户端对错误(例如:畸形的请求语法、无效的请求信息帧或者虚拟的请求路...

			
		

	



                

              
                



	

		

			

				
					
tomcat http status 400 – bad request_Tomcat-远程代码执行漏洞

				
			

			

				

					weixin_39967812的博客
				

				

					11-25
					
					399
					
				

			

		

		

			
				
漏洞原理Tomcat的Servlet是在conf/web.xml配置的,通过配置文件可知,当后缀名为.jsp和.jspx的时候是通过JspServlet处理请求的,而其他的精通文件是通过DefaultServlet处理的可以得知:"1.jsp "(末尾有一个空格)并不能匹配到JspServlet,而是会交由DefaultServlet去处理当处理PUT请求时:会调用resources.bind:d...

			
		

	



                


  
              

                


	

		

			

				
					
JavaScript学习笔记(三十)——HTTPHTTPS

				
			

			

				

					qq_45268602的博客
				

				

					09-16
					
					438
					
				

			

		

		

			
				
转载于:https://www.cnblogs.com/ok-lanyan/archive/2012/07/14/2591204.html
HTTP HTTPS WebService
HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。它于1990年提出,经过几年的使用与发展,得到不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版,HTTP/1.1的规范化工作正在进行之中,而且HTTP-NG(Next Generation of HTTP)的建议已经提

			
		

	





	

		

			

				
					
tomcat隐藏版本信息和错误信息配置

				
			

			

				

					liming19890713的专栏
				

				

					02-23
					
					2768
					
				

			

		

		

			
				
攻击者在获得中间件版本信息后,可针对性的寻找当前版本中间件存在的安全漏洞,进而进行有针对性的攻击。因此当请求出现错误时,需要隐藏tomcat的版本信息和中间件信息。
可以采用如下方法处理:
修改server.xml
在Host里加入:<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" />
修改后只会显示出HTTP 400 错误,不会打印堆

			
		

	



		

			
		



	

		

			

				
					
tomcat请求url过长报400

				
			

			

				

					u013701217的博客
				

				

					05-31
					
					1467
					
				

			

		

		

			
				
tomcat为什么url过长会报错

			
		

	





	

		

			

				
					
tomcat升级后出现因http请求特殊符号问题的400错误

				
			

			

				

					dpp10683401的博客
				

				

					12-30
					
					2645
					
				

			

		

		

			
				
最近在扫描项目漏洞时,出现扫描出Application error message问题,百度搜索解决方案是修改web.xml的error-page,但由于错误直接由tomcat拦截处理,这种方式解决不了此问题,后发现是由于tomcat升级后tomcathttp请求特殊符号进行了更严格的控制,如果不符合则报400错误,页面可能会泄露后台信息,因此需要自定义信息

解决此问题需要重写ErrorRep...

			
		

	





	

		

			

				
					
apache-tomcat-6.0.43-deployer.zip_tomcat deployer

				
			

			

				

					09-23
				

			

		

		

			
				
它是一款用于开发软件之后的发布软件,他就是tomcat,可以用网页访问的服务器。

			
		

	





	

		

			

				
					
apache-tomcat-8.0.51.rar_Java 8_Tomcat/8.0.51_apache基金会_tomcat

				
			

			

				

					09-20
				

			

		

		

			
				
Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat ...

			
		

	





	

		

			

				
					
tomcat_redis_session-1.2_jb51.zip

					
最新发布

				
			

			

				

					06-02
				

			

		

		

			
				
tomcat-redis-session-1.2.zip tomcat7-redis-session.jar.zip tomcat7-redis-session-manager-master.jar.zip

			
		

	





	

		

			

				
					
tomcat-osgi.rar_OsgiContentFactory_osgi_osgi  tomcat 集成_osgi tom

				
			

			

				

					09-20
				

			

		

		

			
				
tomcat 服务器集成开发osgi框架,运行osgi应用程序

			
		

	





	

		

			

				
					
JSP Tomcat7 提示JSTL错误.zip_JSP Tomcat7 提示JSTL错误

				
			

			

				

					09-20
				

			

		

		

			
				
JSP Tomcat7 提示JSTL错误

			
		

	





	

		

			

				
					
tomcat 400错误

				
			

			

				

					
				

				

					09-12
					
					5259
					
				

			

		

		

			
				
tomca 400 错误
在请求目标中无法找到有效字符,有效字符在RFC 7203和 RFC 3986中定义  
Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986  
org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:503)
	org

			
		

	





	

		

			

				
					
TomcatHTTP 400:畸形的请求语法、无效的请求信息帧或者虚拟的请求路由(控制台没有报错提示)

				
			

			

				

					DZ0529的博客
				

				

					05-13
					
					1009
					
				

			

		

		

			
				
上述完成后代码使得在时间框输入时,写清年月日即可,Tomcat清理一下,restart一下就可以启动项目了。此处我是前端传入了日期参数,后台接收日期参数时格式不匹配导致。项目控制台中显示日期数据。

			
		

	





	

		

			

				
					
Tomcat 400错误

				
			

			

				

					geejkse_seff的博客
				

				

					04-10
					
					1763
					
				

			

		

		

			
				
Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
新版本的tomcat对url的参数做了比较规范的限制,必须按照RFC 7230 and RFC 3986规范,对于非保留字字符,如果不做转义处理,一律都会报The valid characters are defined in RFC 7230 and RFC 3986 错误。

org.apache

			
		

	





	

		

			

				
					
Spring MVC 遇到的问题http status 400

				
			

			

				

					h
				

				

					05-28
					
					4870
					
				

			

		

		

			
				
本文转载自:https://my.oschina.net/building/blog/137824 
   本文主要记录一些作者在使用spring mvc过程中遇到的一些以及解决办法,以备日后查询或者供其他网友阅读,每个问题的解决办法肯定不止一种,如果你也遇到过类似问题,并且有独特的见解,我会很高兴你能留言给我,谢谢。 :)1、 前台提交form,tomcat返回 http status 400

			
		

	





	

		

			

				
					
tomcat http status 400 – bad request_刨根问底 HTTP 和 WebSocket 协议

				
			

			

				

					weixin_39842029的博客
				

				

					12-12
					
					358
					
				

			

		

		

			
				
那天和boss聊天,不经意间提到了Meteor,然后聊到了WebSocket,然后就有了以下对话,不得不说,看问题的方式不同,看到的东西也会大不相同。A:Meteor是一个很新的开发框架,我觉得它设计得十分巧妙。B:怎么个巧妙之处?A:它的前后端全部使用JS,做到了真正的前后端统一;前端浏览器里存有一份后台开放出来的数据库的拷贝,快;使用WebSocket协议来做数据传输协议,来同步前后端的数据库...

			
		

	





	

		

			

				
					
tomcat8 url包含|等特殊字符报错400的问题

				
			

			

				

					
				

				

					03-09
					
					3798
					
				

			

		

		

			
				
在做javaweb项目时,关于统一错误页面在开发的过程中就做过编码,并且一直都很有效,像500,404,403等常规错误码都能得到有效处理,但是400却不行,而且还暴露tomcat的版本信息,这是很严重的安全漏洞
解决方法百度和测试很多,总结如下:
问题产生:
根据rfc规范,url中不允许有 |,{,}等特殊字符,但在实际生产中还是有些url有可能携带有这些字符,特别是|还是较为常见的。在tomcat升级到7以后,对url字符的检查都变严格了,如果出现这类字符,服务器tomcat将直接返回400状态码。


			
		

	





	

		

			

				
					
HTTP请求报错:400 Bad Request解决方法!!(终极整理)

					
热门推荐

				
			

			

				

					good_good_xiu的博客
				

				

					04-03
					
					35万+
					
				

			

		

		

			
				
问题场景:当项目的前端页面使用ajax请求访问后端时,出现该错误。

我这里是测试接口时,发生了错误。
原因一:请求参数个数不对。
后端接口上明确规定了请求参数的个数。比如:接口(方法)中的值中使用了requestparam注解,requestparam注解中有个require属性,默认为true,意思则是,必须要传该参数的值(该参数不可为空)。
解决办法:
1.如果该参数是可传可不传的,修改require属性为false。
2.检查前端js文件中对应的ajax请求中的请求数据是否为空,或者是否有该参数。


			
		

	





	

		

			

				
					
Tomcat 400报错显示tomcat信息的解决

				
			

			

				

					rember0087的专栏
				

				

					08-18
					
					3475
					
				

			

		

		

			
				
Tomcat 400报错显示tomcat信息,这就存在着很大的安全隐患。

根据官网给出的方案需要重写ErrorReportValve处理400错误跳转到自定义页面,首先需要更改tomcat中的server.xml文件,在host中添加Valve,页面将不显示错误的详细信息。

<Host name="localhost" appBase="webapps"
 unpackWARs="true" autoDeploy="true">
   <Valve className...

			
		

	





	

		

			

				
					
Java HTTP Status 400 – Bad Request问题解决

				
			

			

				

					03-06
				

			

		

		

			
				
HTTP Status 400 - Bad Request表示客户端发送的请求有错误,服务器无法理解。下面是解决Java HTTP Status 400 - Bad Request问题的一些常见方法:
1. 检查请求参数:确保请求参数的格式正确,并且符合服务器的要求。可以使用浏览器的开发者工具或者网络抓包工具查看请求参数是否正确。

2. 检查请求头:有时候,请求头中的某些字段可能缺失或者格式错误,导致服务器无法正确解析请求。可以检查请求头中的字段是否正确,并且与服务器要求的一致。

3. 检查URL:确保请求的URL地址正确,包括域名、路径和查询参数等。如果URL地址有误,服务器可能无法找到对应的资源。

4. 检查请求方法:HTTP协议定义了多种请求方法,如GET、POST、PUT、DELETE等。确保使用正确的请求方法发送请求,以及服务器端是否支持该方法。

5. 检查请求体:对于POST、PUT等带有请求体的请求,确保请求体的格式正确,并且符合服务器的要求。

6. 检查服务器配置:有时候,服务器端的配置可能导致HTTP Status 400错误。可以检查服务器的配置文件,如web.xml或者其他配置文件,确保配置正确。

7. 查看服务器日志:如果以上方法都无法解决问题,可以查看服务器的日志文件,如Tomcat的catalina.out文件,查找具体的错误信息,以便更好地定位问题。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值