问题标签 [directory-traversal]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
693 浏览

apache - 如何修复 Tomcat 9 上的目录遍历漏洞

我在 Tomcat 9 容器(Debian 10.8)上有一个 JEE 服务。在它前面有一个 Apache Web 服务器 + mod_proxy_ajp。

在我的 VH 中,我没有针对 /manager/html 上下文的任何 ProxyPass 规则,但是如果在 Web 客户端上我重写我的 URL 添加 /..;/manager/html(例如:https ://www.example.org/site/ ..;/manager/html ) Tomcat 管理器要求提供凭据。

有什么技巧可以避免吗?也许使用modsecurity?谢谢。

0 投票
0 回答
43 浏览

spring-boot - 目录遍历 Veracode spring boot

我有一个将文件上传到 S3 存储桶的 Spring Boot 服务。要存储的文件名取自请求 url。

amazonS3.putObject(bucketName, folder+filename, file.getInputStream(), metadata);此行显示了验证码问题。我已经尝试了各种解决方案,例如,

  1. 文件.getCanonicalPath()。
  2. Paths.get(文件名).normalize()。
  3. 我还尝试替换 ../ 等字符(如果存在)。

但问题仍然存在。请帮我。