如何修复 Tomcat 9 上的目录遍历漏洞

【问题标题】:How to fix directory traversal vulnerability on Tomcat 9如何修复 Tomcat 9 上的目录遍历漏洞
【发布时间】:2021-10-24 18:34:21
【问题描述】:

我在 Tomcat 9 容器 (Debian 10.8) 上有一个 JEE 服务。在它前面是一个 Apache Web 服务器 + mod_proxy_ajp。

在我的 VH 中,我没有任何 /manager/html 上下文的 ProxyPass 规则,但如果在 Web 客户端上我重写我的 URL 添加 /..;/manager/html(例如:https://www.example.org/site/..;/manager/html)Tomcat 管理器要求凭据。

有什么技巧可以避免吗?也许使用modsecurity? 谢谢。

【问题讨论】:

  • 为什么不直接将代理服务器配置为拒绝所有带分号的路径?甚至只是将它们重写回家

标签: apache tomcat httpd.conf directory-traversal


【解决方案1】:

由于 path parameters 仅在 Tomcat 中用于会话跟踪(作为 cookie 的替代品),因此您可以在 Apache2 中从 .. 路径段安全地删除它们:

RewriteEngine on
RewriteRule ^(.*)/\.\.;[^/]*(.*)$ $1/..$2 [N]

您也可以完全删除它们:

RewriteEngine on
RewriteRule ^(.*);[^/]*(.*)$ $1$2 [N]

并将 Tomcat 配置为仅在 $CATALINA_BASE/conf/web.xml 中使用 cookie 进行会话跟踪:

    <session-config>
        ...
        <tracking-mode>COOKIE</tracking-mode>
    </session-config>

【讨论】:

    【解决方案2】:

    我使用 mod_security 规则解决了这个问题:

    SecRule REQUEST_URI "@rx ..;/" "phase:1,severity:'CRITICAL',deny,id:129"

    有效。

    【讨论】:

    • 您的正则表达式无法捕捉到所有可能性:/app/..;abc/manager/html 仍将被 Tomcat 重写为 /manager/html。试试/\.\.;[^/]*/
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2020-12-16
    • 1970-01-01
    • 2023-03-10
    • 2021-08-14
    • 1970-01-01
    • 1970-01-01
    • 2022-01-18
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode