ci框架报500 错误_线上服务403 Forbidden错误的调查

最新推荐文章于 2021-03-10 02:04:17 发布
最新推荐文章于 2021-03-10 02:04:17 发布
阅读量309 收藏
点赞数
文章标签: ci框架报500 错误
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42335570/article/details/113051786
版权

最近刚刚从老外哪里接手了一个服务, 然后需要每天检查一下服务的状态。 本来这个服务已经运行了好几年也没有改动,是一个相对稳定的服务。

在昨天对这个服务进行例行公事的检查的时候, 发现线上监控工具NewRelic报了大量的Forbidden Error。 当时的第一反应就是是不是被攻击了。

72f48db7cefa4975cfc0c4be9fe4593d.png

然后点进上图的“Forbidden”链接, 看具体的请求访问的明细, 首先可以在右上角看到在过去的24小时内, 一共收到了5858个这样的错误。

527e9b72a16fc9711f9ca283506523cf.png

然后可以看到访问的Request URI 是 类似“/wls-wsat/CoordinatorPortType”, 或者是"/wls-wsat/CoordinatorPortType11", 使用的HttpMethod是“Post”或者是“PROPFIND”, 然后google了一下”/wls-wsat/CoordinatorPortType11“,然后就找到了下面https://blog.alertlogic.com/blog/beware-the-weblogic-wls-wsat-component-deserialization-rce-exploit/

According to the POC, the wls-wsat/CoordinatorPortType endpoint is where the vulnerability exists, but the endpoints below have also been listed as possible vulnerable entry points for this attack:
wls-wsat/RegistrationPortTypeRPC
wls-wsat/ParticipantPortType
wls-wsat/RegistrationRequesterPortType
wls-wsat/CoordinatorPortType11
wls-wsat/RegistrationPortTypeRPC11
wls-wsat/ParticipantPortType11
wls-wsat/RegistrationRequesterPortType11

看起来的确是有人对我们的服务进行漏洞扫描,然后赶紧把这个问题告诉了安全部门, 让他们去调查这些请求的来源。

然后就自然想调查一下是那段代码起了作用报出了了这个403 Forbidden Error。因为是接手的代码, 对代码并不熟悉,印象中没有那段代码打印这样的Error Message, 而且从在线日志Kibana上来看, 似乎请求没有运行到我们的代码, 就被Spring Framework的代码给拦截了。

首先尝试着重现这个问题, 很幸运, 简单的通过curl命令来访问的服务就重现了这个问题。

curl -d "param1=value1" -X POST "http://localhost:8071/wls-wsat/CorordinatePortType11"

既然本地能够重现, 那么事情就比较好办了, 猜测是Spring那个拦截器的起了作用,在本地把spring framework的debug log打开

<logger name="org.springframework" level="DEBUG"/>

然后就看到以下的error

031dfee534a6ee0f8528628efb2da7f3.png

原来是CSRFFilter起了作用。原来CSRFFilter默认在Spring Boot中代开。 CSRF是cross site request forgery的缩写。 它是主要用来防止客户无意或者是被人利用恶意的多次提交表单。 所以为了只让客户的请求只被提交一次, 服务器端每次都会在生成表单页面的时候添加一个隐藏的表单元素“_csrf”,然后让用户提交表单的时候会被一起提交到服务器端。 然后服务器端会对_csrf进行检查, 通过判断是不是一个有效的CSRF token来判断内容有没有多次提交。因为主要为了防止恶意的写操作, 所以缺省情况下CSRF只对请求的方法不是Get, Options, Head, Trace之外的请求进行拦截。

在我们的代码里面, 被CSRFFilter拦截下来之后, 发现当前的请求并没有携带CSRF token, CSFRFilter就把处理交给了accessDeniedHandler.

b584a54a854f3251f7ea2c98169a8e58.png

然后在accessDeniedHandler的实现org.springframework.security.web.access.AccessDeniedHandlerImpl中, 调用了response.senderror并设置了Response的StatusCode是403。

27e7ef0c4b85410a040ddbb94dc39554.png

response.sendError所做的事情就是把当前的request访问的uri改成了“/error”, 最终Spring Framework的BasicErrorController就会接收到这个请求, 并返回最终的response。

96906808d9c93a03acb726326841ee0d.png

这样整个处理的流程就搞清楚了,写好调查的报告就可以休息了:-)

当然你也可以关闭CsrfFilter, 但是强烈建议不要这么做, 因为这样让自己的程序很危险。 如果确认自己的服务并没有写操作, 可以通过下面的配置来关闭。

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends
   WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
      .csrf().disable();
  }
}

参考链接:

  1. https://www.baeldung.com/spring-boot-logging
  2. https://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html
晓剑15703836037
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CI框架 500 Internal Server Error
leoly612200的博客
11-30 627
错误信息: Internal Server Error The server encountered an internal error or misconfiguration and was unable to complete your request. Please contact the server administrator at admin@example.com to inform them of the time this error occurred, and the action
Mac 环境下 基于CI框架 Apache 403 Forbidden 问题
czhxinyu的专栏
10-28 842
相信不少初学者在搭建php本地开发环境是有遇到过 You don't have permission to access / on this server 这样的提示,一般情况下修改 apache 配置文件 httpd.conf 中的某些选项就好了。但有时也会碰到不凑效的情况,于是从头到尾不知道检查多少遍、重启多少次服务器,甚至怀疑自己的本出了问题。在这里我想提醒的是还有一种情况也会导致这个问题,
ci框架500 错误_了解DevOps,CI,CD,自动化
weixin_29887351的博客
01-13 434
DevOps什么是DevOps?DevOps(Development和Operations的组合词)是一组过程、方法与系统的统称,用于促进开发、技术运营和质量保障(QA)部门之间的沟通、协作与整合。可以把DevOps看作开发(软件工程)、技术运营和质量保障(QA)三者的交集。DevOps好处?DevOps 使以前孤立的角色(开发、IT 运营、质量工程和安全)可以协调和协作,以生产更好、更可靠的产品...
CI当开启URL重写的时候,500 Internal Server Error
weixin_34268610的博客
02-06 273
Internal Server Error The server encountered an internal error or misconfiguration and was unable to complete your request. Please contact the server administrator at admin@example.com to inform the...
php ci csrf,Codeigniter(CI) 使用 CSRF 功能造成 POST 403
weixin_39802962的博客
03-10 142
今天在工作上遇到在某一個開發站台 URL 在使用瀏覽器 和使用 JS 去 call URL 的 response 有不同的狀況雖然是一樣開啟 URL,但 resquest 的方式不同造成的回應也有所不同,這就是之前在測試滲透技巧中的一環狀況說明:使用 POST 會出現 403 沒有權限 (JS)使用 GET 可以出現正常的 response 200 (browser)根據 HTTP 的規範,GET...
Nginx403 forbidden错误 (13: Permission denied)的解决办法
01-11
查看/var/log/nginx/error.log日志显示:xxx 403 forbidden (13: Permission denied)错误。我勒个去~ 引起nginx 403 forbidden通常是三种情况:一是缺少索引文件,二是权限问题,三是SELinux状态。 一、缺少index....
权限问题导致Nginx 403 Forbidden错误的解决方法
09-30
主要介绍了权限问题导致Nginx 403 Forbidden错误的解决方法,本文中导致 403 Forbidden错误的原因是配置文件中没有指明一个用户,需要的朋友可以参考下
Nginx服务器中403 forbidden错误如何解决.docx
09-26
Nginx服务器中403 forbidden错误如何解决 在 Nginx 服务器中,403 Forbidden 错误是非常常见的错误之一。这种错误通常是由于服务器端的配置错误或权限不正确所导致的。在本文中,我们将详细探讨 Nginx 服务器中 ...
apache服务出现Forbidden 403问题的解决方法总结
01-10
在配置Linux的 Apache服务时,经常会遇到http403错误,我今天配置测试时也出现了,最后解决了,总结了一下。http 403错误是拒绝访问的意思,有很多原因的。还有,这些问题在win平台的Apache里一样会发生!我按照经验...
记录一次CI错误500
Kevin的专栏
04-11 2051
CI中只要加载Model就错误500 HTTP 错误 500(Internal Server Error):服务器尝试执行请求时遇到了意外情况。 排查了各种错误,包括Nginx配置文件,CI框架的 .htaccess 文件,最后定位到CI的配置文件database.php文件中,被同事修改导致文件冲突。 所以在连接数据库时,发生错误! 修改后解决问题。。。。
微信小程序使用ci框架的php后台时,发生错误500(intvarnet server error)
dichiying4463的博客
07-23 307
好吧,看到这里,希望您能好好阅读微信小程序给出的错误提示。因为用了ci框架后,不管发送什么错误,都会提示500.错误原因都藏在开发工具的console里面,好好看就知道什么错误了。 知识点:ci框架 返回的错误大部分是500.如何说是服务错误。但是错误原因往往放在console里面,好好查找即可。 转载于:https://www.cnblogs.com/lll-freshman/p...
.net core 微服务_.Net微服务实战之CI/CD(一)
weixin_39622760的博客
11-24 268
地基  在软件工程不少的思想、概念来源于建筑工程,大家也喜欢把开发软件比喻成建房子。那么如果说运维是软件的地基,那么框架就是承重墙。起房子就是先打地基,再建承重墙。地基打得越稳,房子才能起得更高。也等同于运维技术越扎实,系统才能更加健壮。  特别在微服务兴起得时代,运维越发的现得尤为得重要,DevOps也风靡全球。只要聊起DevOps与微服务CI/CD总是不能避免的。CI/CD不一定限制于微服务...
403.14 php mysql_php – 为什么我在本地使用codeigniter获得403 Forbidden错误
weixin_33967069的博客
01-26 349
我是数据库工作的新手,我想知道是否有人可以帮助我理解为什么当我只是在本地开发时我一直得到403 Forbidden错误.我正在使用codeigniter尝试创建一个简单的登录程序.前几天我让程序在不同的计算机上运行,​​但是当我尝试在浏览器中打开“视图”或“控制器”文件时,现在我在这台计算机上的所有内容都是403错误.它必须在某处设置,但我根本不知道在哪里看.有任何想法吗?这是我的database...
apache2.4经常403错误解决
一名普通码农的菜地
11-21 5083
请检查目录有没有权限,譬如: 多主机头应该这样写:NameVirtualHost *:9073 <VirtualHost *:9073> ServerName dummy-host2.example.com DocumentRoot "D:/web-root/phpcms" <Directory> Options Indexes FollowSymLinks Inc
响应状态码403_HTTP 401错误与HTTP 403错误–状态码响应说明
cumian8165的博客
08-19 1万+
响应状态码403We've covered the 403 (Forbidden) HTTP Error code in some detail before, but it also has a near identical sibling. 前面我们已经详细介绍了403(禁止)HTTP错误代码,但是它也具有几乎相同的兄弟。 So what exactly is the difference...
关于CI-CodeIgniter目录访问权限的问题的解决方法,通过修改.htaccess文件的办法解决无法加载css文件,js文件,图片文件等类型文件的方法
lhp0906的博客
10-21 5390
CI-CodeIgniter框架之前有过关注,近期有个小项目打算来用一下,发现其在application文件下的访问权限被限制了,一些资源文件CSS,JS,img等资源文件都无法正常加载,谷歌,百度以后,发现有好多朋友碰到类似的问题,使用CI框架css文件无法加载,js文件无法加载,图片文件无法加载等等类似的问题,解决的方法也是多种多样,其中一种是将资源文件和application文件剥离,把资源
更改Nginx网站根目录以及导致的403 forbidden问题解决
热门推荐
拂晓的专栏
04-27 3万+
一、更改根目录 Nginx默认网站根目录为/usr/local/nginx/html,要将它改成/home/fuxiao/www 更改方法: vi /usr/local/nginx/conf/nginx.conf 将其中的         location / {             root   html;
php错误403_phpstudy访问文件403/Forbidden解决办法
最新发布
09-10
这样就可以解决403错误。 第二种方法是通过检查权限来解决。403错误通常是由于"读取"访问被禁止而造成的。这可能是因为没有可用的默认网页或者目录没有启用目录浏览。另外,要显示的HTML网页所在的目录可能被标记为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值