问题标签 [directory-traversal]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
apache - 如何修复 Tomcat 9 上的目录遍历漏洞
我在 Tomcat 9 容器(Debian 10.8)上有一个 JEE 服务。在它前面有一个 Apache Web 服务器 + mod_proxy_ajp。
在我的 VH 中,我没有针对 /manager/html 上下文的任何 ProxyPass 规则,但是如果在 Web 客户端上我重写我的 URL 添加 /..;/manager/html(例如:https ://www.example.org/site/ ..;/manager/html ) Tomcat 管理器要求提供凭据。
有什么技巧可以避免吗?也许使用modsecurity?谢谢。
spring-boot - 目录遍历 Veracode spring boot
我有一个将文件上传到 S3 存储桶的 Spring Boot 服务。要存储的文件名取自请求 url。
amazonS3.putObject(bucketName, folder+filename, file.getInputStream(), metadata);
此行显示了验证码问题。我已经尝试了各种解决方案,例如,
- 文件.getCanonicalPath()。
- Paths.get(文件名).normalize()。
- 我还尝试替换 ../ 等字符(如果存在)。
但问题仍然存在。请帮我。