s>/<s>.css?12345‘“\‘\“);|]*%00{%0d%0a<%00>%bf%2项目检测问题Application error message
终极解决方案:见最后
问题描述:Application error message
Acunetix Security Audit 使用工具扫描项目时扫描出来的问题
Web Server
Details
Path Fragment input /[*]/<s>/<s>-<n>.<n>/<s>/<s>/<s>.css was set to 12345'"\'\");|]*%00{%0d%0a<%00>%bf%27'💡
Pattern found:
java.lang.Thread.run(Thread.java:748)
解决手段:tomcat9以上
添加两个配置参数
<Connector port="8080" protocol="HTTP/1.1"connectionTimeout="20000"redirectPort="8443" relaxedQueryChars="[]|{}^\`"<>" relaxedPathChars="[]|{}^\`"<>" />
终结解决方案:
改源码:
源码路径:apache-tomcat-9.0.37-src\java\org\apache\coyote\http11\Http11InputBuffer.java
文件中iib.invalidRequestTarget相关三个方法全部注释掉了。然后编译的class文件放到了tomcat-coyote.jar中
s>/<s>.css?12345‘“\‘\“);|]*%00{%0d%0a<%00>%bf%2项目检测问题Application error message相关推荐
- JSTL fmt标签格式化日期时分秒显示为00:00:00和12:00:00问题
2019独角兽企业重金招聘Python工程师标准>>> 记录下今天fmt格式化日期时分秒碰到的坑吧,今天用fmt:formatDate标签格式化一个日期的时候HH:mm:ss还是hh ...
- 时间格式转换2020-04-09T23:00:00.000+08:00
时间格式转换2020-04-09T23:00:00.000+08:00 /*** 日期格式转换yyyy-MM-dd'T'HH:mm:ss.SSSXXX (yyyy-MM-dd'T'HH:mm:ss.S ...
- 串口调试助手总是多发送两个字节 0d 0a
0d 0a 是windows的回车和换行 因此去串口调试助手里,确保发送的字符最后没有回车换行,并且没有点选这种复选框:
- SQL 如何去掉字段中千位的逗号(比如set @= '1,320.00' 想得到@= '1320.00' )
1/去掉字段里的逗号.(比如set @= '1,320.00' 想得到@= '1320.00' ) UPDATE table SET fieldA = REPLACE(fieldA, ' ...
- 将时分秒的时间转为2020-11-12T20:00:00.000+08:00格式
java中将时分秒的时间转为2020-11-12T20:00:00.000+08:00格式 /*** @Description: 将2020-11-12T20:00:00.000+08:00 转换为2 ...
- 50_00_000java,时间格式转换2020-04-09T23:00:00.000+08:00
/** * 日期格式转换yyyy-MM-dd'T'HH:mm:ss.SSSXXX (yyyy-MM-dd'T'HH:mm:ss.SSSZ) TO yyyy-MM-dd HH:mm:ss * 2020- ...
- 格林尼治时间2016-10-15T00:00:00.000+08:00转Date
public static void main(String[] args) throws ParseException {String oldDateStr = "2016-10-15T0 ...
- kernel: iwlwifi 0000:04:00.0: Direct firmware load for iwlwifi-7260-13.ucode failed with error -2
kernel: iwlwifi 0000:04:00.0: Direct firmware load for iwlwifi-7260-13.ucode failed with error -2 升级 ...
- “0d 0a”这两个字符是什么涵义
"0d 0a"这两个字符是什么涵义 其实这是从打字机的概念来的: 0x0d => /r, carrige return, 指打字头归位的动作 0x0a => /n, n ...
最新文章
- .net课堂流水账_20110118
- apache服务Forbidden 403问题精彩总结
- 如何利用数据来支撑设计?
- 【Linux 内核】CFS 调度器 ⑥ ( CFS 调度器就绪队列 cfs_rq | Linux 内核调度实体 sched_entity | “ 红黑树 “ 数据结构 rb_root_cached )
- js容易被忘记的基础知识点————变量类型
- 【APIO2015】完跪记
- 推导基姆拉尔森公式根据日期计算星期
- Python实现微信朋友签名云图项目
- windows 禁用ipv6服务_Win7电脑禁用ipv6协议的方法是什么?
- VFP访问外部数据源的几种方法
- 勤哲excel服务器端口协议,勤哲Excel服务器技术支持|Excel服务器常见问题解答
- 最近华为笔试题(9.1)第二题
- javascript连接数据库
- iscsi对oracle发起程序,系统运维|设置iSCSI的发起程序(客户端)(三)
- 【Python+Stata】豪斯曼检验:固定效应or随机效应?
- 弹力弹珠java_Java趣味小程序:打弹珠
- 塞拉菲娜创始人 - 木子
- 香港美国CERA机房你怎么选择?
- 我在atcoder打比赛
- 药家鑫案遇害者亲属愿接受药父20万元赠款
热门文章
- 为什么都建议程序员不要做“外包”?看完这些经历,很辛酸
- 为JBoot系统增加启动任务
- 【论文精读】UV-SLAM: Unconstrained Line-based SLAM Using Vanishing Points for Structural Mapping
- sqlserver数据库账户登录18456错误怎么解决?
- 秋水仙碱与牛血清白蛋白 (BSA)偶联物(相关实验)
- 云e办学习笔记(十五)Redis学习以及相关部署
- Navicat12.0.29_Premium_cs_x64激活
- 利用计算机画统计图.doc,信息技术应用利用计算机画统计图.pptx
- 微服务选择Spring Cloud还是Dubbo?
- Ubuntu系统录屏webm格式mp4格式方法