Гость
Войти | Профиль | Очистить
Действия ...
Форумы / Java [игнор отключен] [закрыт для гостей] / Как победить ошибку / 25 сообщений из 64, страница 1 из 3
  1  все
07.09.2019, 11:20
    #39858705
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
Код: plaintext
Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 12:02
    #39858721
mayton
mayton
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
У тебя в туловище request-a затесался левый символ который там не должен быть никогда.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 12:10
    #39858723
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
maytonУ тебя в туловище request-a затесался левый символ который там не должен быть никогда.это понятно, вот как с ним бороться?
и как обработать эту ошибку?
собственно проблема в том что эта ошибка вываливается в окне браузера. вот этого и не надо.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 12:14
    #39858725
mayton
mayton
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
Слушай. Что это за манера такая вываливать ошибку по кусечкам? Может сразу опишешь все условия?

Надо найти этот испорченный символ и заэкранировать.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 12:26
    #39858729
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
mayton,

есть сайт mysait.ru
если писать так mysait.ru/sdgsdg
т.е. на англицком - обрабатывается нормально
но стоит появиться русской букве в браузере вываливается -
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
Type Exception Report

Message Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

Description The server cannot or will not process the request due to something that is perceived to be a client error (e.g., malformed request syntax, invalid request message framing, or deceptive request routing).

Exception

java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
maytonНадо найти этот испорченный символ и заэкранировать.
вот где найти ?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 12:41
    #39858732
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
вот это
relaxedPathChars="[]|"
relaxedQueryChars="[]|{}^\`"<>"

в server.xml позволяет использовать дополнительные символы
но как добавить русские буквы?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 15:06
    #39858749
asv79
asv79
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
как можно ответить на этот вопрос не видя хотя бы контроллера,который обрабатывает этот запрос
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 15:58
    #39858766
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
asv79как можно ответить на этот вопрос не видя хотя бы контроллера,который обрабатывает этот запросгы-гы
если не в теме - не суйся
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 16:44
    #39858777
mayton
mayton
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
Предлагаю топик закрыть. Какой смысл обсуждать баг при отсутствии возможности репродьюсить?
Конечно мы - не стековерфлоу и всего не знаем. Но должен-жеж быть какой-то диалог. И автор
должен активнее всех бегать и фиксить. Сорцы давать. Скриншоты. Версии операционок и браузеров.
А так - демотивирует...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 17:06
    #39858781
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
mayton,

какие сорцы ? это сообщения томката.
до моих кодов не доходит , хотя в логах apache2 русские буквы экранируются.
вот тут https://stackoverflow.com/questions/41053653/tomcat-8-is-not-able-to-handle-get-request-with-in-query-parameters
но нет решения.
собственно мне не надо передать русские буквы, мне надо обработать

вот предлагают
Код: java
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
    @Override
    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) {

        try {
            req.setCharacterEncoding("UTF-8");
        } catch (UnsupportedEncodingException ex) {
            Logger.getLogger(UserFilter.class.getName()).log(Level.SEVERE, null, ex);
        }

        HttpServletRequest httpRequest = (HttpServletRequest) req;

        try {
            httpRequest.setCharacterEncoding("utf-8");
        } catch (UnsupportedEncodingException ex) {
            Logger.getLogger(UserFilter.class.getName()).log(Level.SEVERE, null, ex);
        }


но это тоже не помогает

а так же такое
Код: xml
1.
2.
3.
4.
5.
6.
7.
<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
            relaxedPathChars="[]|"
            relaxedQueryChars="[]|{}^&#x5c;&#x60;&quot;&lt;&gt;"
            URIEncoding="UTF-8"
            useBodyEncodingForURI="true"
               redirectPort="8443" />


это помогает для спецсимволов []|{}^

версия браузера? хром и другие,
tomcat 9.+
debian10
java11
но вопрос не в том что код js формирует , а том что ручками вбивает юзер в адресной строке. а вбить он может всё что угодно для достижения цели проникнуть куда не надо.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 17:45
    #39858799
chpasha
chpasha
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
вадяа том что ручками вбивает юзер в адресной строке. а вбить он может всё что угодно для достижения цели проникнуть куда не надо
почему это проблема? пусть вбивает что хочет и пусть томкэт ругается на все, что вбито не правильно. если юзеру хочется вбивать руками правильно, пусть воспользуется любым из доступных онлайн url-encoder-ов. главное чтоб твой софт правильные url-ы формировал.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 18:28
    #39858819
asv79
asv79
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
вадяно вопрос не в том что код js формирует , а том что ручками вбивает юзер в адресной строке. а вбить он может всё что угодно для достижения цели проникнуть куда не надо.
так ты чего мапишь куда то левые запросы?
помоему если пользотватель ввел херню типо
шттпс:твой сайт/все что угодно
то он должен получить 404 ,разве не?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 18:42
    #39858826
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
chpashaпочему это проблема? пусть вбивает что хочет и пусть томкэт ругается на все, что вбито не правильно. если юзеру хочется вбивать руками правильно, пусть воспользуется любым из доступных онлайн url-encoder-ов. главное чтоб твой софт правильные url-ы формировал.тут такая вещь , что ломятся все кому не лень и подбирают все возможные комбинации. если сервер отвечает страницей с ошибкой - это не просто информация, а дополнительная инфа для атакующего. и если там ответ кошки - область для атаки сокращается многократно.
asv79так ты чего мапишь куда то левые запросы?
помоему если пользотватель ввел херню типо
шттпс:твой сайт/все что угодно
то он должен получить 404 ,разве не?
твой магазин вскроют через 20 мнут, если будешь так думать.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 18:45
    #39858829
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
ну данную проблему решил с помощью mod-rewrite
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 18:57
    #39858834
asv79
asv79
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
вадяchpashaпочему это проблема? пусть вбивает что хочет и пусть томкэт ругается на все, что вбито не правильно. если юзеру хочется вбивать руками правильно, пусть воспользуется любым из доступных онлайн url-encoder-ов. главное чтоб твой софт правильные url-ы формировал.тут такая вещь , что ломятся все кому не лень и подбирают все возможные комбинации. если сервер отвечает страницей с ошибкой - это не просто информация, а дополнительная инфа для атакующего. и если там ответ кошки - область для атаки сокращается многократно.
asv79так ты чего мапишь куда то левые запросы?
помоему если пользотватель ввел херню типо
шттпс:твой сайт/все что угодно
то он должен получить 404 ,разве не?
твой магазин вскроют через 20 мнут, если будешь так думать.
как его вскроют если контроллеры обрабатывают лишь конкретные урлы
тоесть вот есть урла где твои товары рестятся из базы в json например каким то магазинам по меньше
напрмер магахин/прайс
и они получают в ответ джейсона ,из которого могут прайс составить(так щас почти все оптовики работают)
ну вот и как они ко мне влезут
если они введут мой сайт/какая то хрень?
у меня по этому запросу ничего нет,значить будут получтать 404
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 19:10
    #39858838
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
asv79как его вскроют если контроллеры обрабатывают лишь конкретные урлы
тоесть вот есть урла где твои товары рестятся из базы в json например каким то магазинам по меньше
напрмер магахин/прайс
и они получают в ответ джейсона ,из которого могут прайс составить(так щас почти все оптовики работают)
ну вот и как они ко мне влезут
если они введут мой сайт/какая то хрень?
у меня по этому запросу ничего нет,значить будут получтать 404гы-гы
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 19:22
    #39858840
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
asv79,

конечно, сайты на java это более качественный уровень защиты, по сравнению с php, но всё же надо ограничивать доступ к любо информации - любопытных спецов много.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 19:23
    #39858841
asv79
asv79
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
вадяasv79как его вскроют если контроллеры обрабатывают лишь конкретные урлы
тоесть вот есть урла где твои товары рестятся из базы в json например каким то магазинам по меньше
напрмер магахин/прайс
и они получают в ответ джейсона ,из которого могут прайс составить(так щас почти все оптовики работают)
ну вот и как они ко мне влезут
если они введут мой сайт/какая то хрень?
у меня по этому запросу ничего нет,значить будут получтать 404гы-гы
я вот будет время задеплою свой шоп на боевой сервер специально ради того ,чтобы ты туда влез)))
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 19:24
    #39858842
asv79
asv79
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
вадяasv79,

конечно, сайты на java это более качественный уровень защиты, по сравнению с php, но всё же надо ограничивать доступ к любо информации - любопытных спецов много.
так на чем у тебя сайт?на пхп или джаве ? ты просто тему в джаве создал
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 19:28
    #39858843
mayton
mayton
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
Если вы обсуждаете атаку - вы должны конкретно смоделировать ее сценарий воспроизведения.
Большинство известных уязвимостией собрано и классифицировано здесь
https://www.owasp.org/index.php/Category:Java
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 19:32
    #39858844
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
asv79так на чем у тебя сайт?на пхп или джаве ? ты просто тему в джаве создала ты не заметил код и текст?
ты кода-нибудь видел даже простейшие попытки проникновения?
даже если у тебя простой магазин - то есть страницы для всех и для избранных, а всем даже имена страниц для избранных знать не стоит.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 19:34
    #39858845
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
mayton,

вот и я о том же
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 19:34
    #39858846
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
вадяmayton,

вот и я о том же
https://www.owasp.org/index.php/JSP_errorPage
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 19:37
    #39858847
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
maytonБольшинство известных уязвимостией собрано и классифицировано здесьвот ещё бы сервис по проверке....
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.09.2019, 19:48
    #39858848
mayton
mayton
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как победить ошибку
вадя, мы работали с Дойче-Банком. Тот покупал лицензию на Veracode.

https://www.veracode.com/

Эта штука сканирует все твои сорцы на предмет типичных уязвимостей. Типа например
пользовательский ввод напрямую попадает в веб-билдер и косвенно позволяет сделать
фейковый серверный скрипт. В этом случае Виракод выбросил отчет с инцедентом.

Если у вас туго с деньгами - можно попробовать бесплатный Сонар-Куб и поискать к нему
такие-же бесплатные плагины для поиска vulnerabilities.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
  1  все
Форумы / Java [игнор отключен] [закрыт для гостей] / Как победить ошибку / 25 сообщений из 64, страница 1 из 3
Целевая тема:
Создать новую тему:
Автор:
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
созд. / загр.: 174ms
Закрыть
start [/forum/topic.php?fid=59&mobile=1&tid=2121134]:
 0ms
get settings:
 10ms
get forum list:
 13ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 56ms
get topic data:
 11ms
get forum data:
 2ms
get page messages:
 61ms
get tp. blocked users:
 1ms
others: 12ms
total:  174ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]