我們的產品在偵聽端口80和443的apache tomcat服務器上運行時存在嚴重的安全問題。在這些端口上傳入HTTP/HTTPS數據包的路由由我們的產品類進行配置,以確保每個請求的URL都指的是一個文件,它既位於服務器的Web根目錄中,又屬於允許提供服務的類型。在Tomcat中限制文件訪問
特別是,url中匹配'/ error/*'的數據包被配置爲使用'docroot'文件夾作爲服務文件的文檔根目錄。因此,也可以訪問和下載使用URL編碼的反斜槓遍歷/ error /(即docroot)目錄的路徑。例如,遠程用戶可以給等的URL -
https://MyDomain/error/..%5c..%5csettings.properties
訪問遠程文件settings.properties即在相同的水平的docroot。我們正試圖通過防火牆規則和網絡分段來克服這一點。但是,在tomcat中是否有一個設置可用於防止遠程用戶訪問項目根文件夾以外的文件。這將是非常有用的。
即使有一些過濾選項可以阻止訪問文件類型,如文件路徑以外的* .txt,* .properties,即使這樣做也會非常有用。 – user496934