我们的产品在侦听端口80和443的apache tomcat服务器上运行时存在严重的安全问题。在这些端口上传入HTTP/HTTPS数据包的路由由我们的产品类进行配置,以确保每个请求的URL都指的是一个文件,它既位于服务器的Web根目录中,又属于允许提供服务的类型。在Tomcat中限制文件访问
特别是,url中匹配'/ error/*'的数据包被配置为使用'docroot'文件夹作为服务文件的文档根目录。因此,也可以访问和下载使用URL编码的反斜杠遍历/ error /(即docroot)目录的路径。例如,远程用户可以给等的URL -
https://MyDomain/error/..%5c..%5csettings.properties
访问远程文件settings.properties即在相同的水平的docroot。我们正试图通过防火墙规则和网络分段来克服这一点。但是,在tomcat中是否有一个设置可用于防止远程用户访问项目根文件夹以外的文件。这将是非常有用的。
即使有一些过滤选项可以阻止访问文件类型,如文件路径以外的* .txt,* .properties,即使这样做也会非常有用。 – user496934