|
|
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Код: plaintext ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 11:20 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
У тебя в туловище request-a затесался левый символ который там не должен быть никогда. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 12:02 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
maytonУ тебя в туловище request-a затесался левый символ который там не должен быть никогда.это понятно, вот как с ним бороться? и как обработать эту ошибку? собственно проблема в том что эта ошибка вываливается в окне браузера. вот этого и не надо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 12:10 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Слушай. Что это за манера такая вываливать ошибку по кусечкам? Может сразу опишешь все условия? Надо найти этот испорченный символ и заэкранировать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 12:14 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
mayton, есть сайт mysait.ru если писать так mysait.ru/sdgsdg т.е. на англицком - обрабатывается нормально но стоит появиться русской букве в браузере вываливается - Код: plaintext 1. 2. 3. 4. 5. 6. 7. 8. вот где найти ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 12:26 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вот это relaxedPathChars="[]|" relaxedQueryChars="[]|{}^\`"<>" в server.xml позволяет использовать дополнительные символы но как добавить русские буквы? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 12:41 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
как можно ответить на этот вопрос не видя хотя бы контроллера,который обрабатывает этот запрос ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 15:06 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
asv79как можно ответить на этот вопрос не видя хотя бы контроллера,который обрабатывает этот запросгы-гы если не в теме - не суйся ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 15:58 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Предлагаю топик закрыть. Какой смысл обсуждать баг при отсутствии возможности репродьюсить? Конечно мы - не стековерфлоу и всего не знаем. Но должен-жеж быть какой-то диалог. И автор должен активнее всех бегать и фиксить. Сорцы давать. Скриншоты. Версии операционок и браузеров. А так - демотивирует... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 16:44 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
mayton, какие сорцы ? это сообщения томката. до моих кодов не доходит , хотя в логах apache2 русские буквы экранируются. вот тут https://stackoverflow.com/questions/41053653/tomcat-8-is-not-able-to-handle-get-request-with-in-query-parameters но нет решения. собственно мне не надо передать русские буквы, мне надо обработать вот предлагают Код: java 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. но это тоже не помогает а так же такое Код: xml 1. 2. 3. 4. 5. 6. 7. это помогает для спецсимволов []|{}^ версия браузера? хром и другие, tomcat 9.+ debian10 java11 но вопрос не в том что код js формирует , а том что ручками вбивает юзер в адресной строке. а вбить он может всё что угодно для достижения цели проникнуть куда не надо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 17:06 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадяа том что ручками вбивает юзер в адресной строке. а вбить он может всё что угодно для достижения цели проникнуть куда не надо почему это проблема? пусть вбивает что хочет и пусть томкэт ругается на все, что вбито не правильно. если юзеру хочется вбивать руками правильно, пусть воспользуется любым из доступных онлайн url-encoder-ов. главное чтоб твой софт правильные url-ы формировал. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 17:45 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадяно вопрос не в том что код js формирует , а том что ручками вбивает юзер в адресной строке. а вбить он может всё что угодно для достижения цели проникнуть куда не надо. так ты чего мапишь куда то левые запросы? помоему если пользотватель ввел херню типо шттпс:твой сайт/все что угодно то он должен получить 404 ,разве не? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 18:28 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
chpashaпочему это проблема? пусть вбивает что хочет и пусть томкэт ругается на все, что вбито не правильно. если юзеру хочется вбивать руками правильно, пусть воспользуется любым из доступных онлайн url-encoder-ов. главное чтоб твой софт правильные url-ы формировал.тут такая вещь , что ломятся все кому не лень и подбирают все возможные комбинации. если сервер отвечает страницей с ошибкой - это не просто информация, а дополнительная инфа для атакующего. и если там ответ кошки - область для атаки сокращается многократно. asv79так ты чего мапишь куда то левые запросы? помоему если пользотватель ввел херню типо шттпс:твой сайт/все что угодно то он должен получить 404 ,разве не? твой магазин вскроют через 20 мнут, если будешь так думать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 18:42 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
ну данную проблему решил с помощью mod-rewrite ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 18:45 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадяchpashaпочему это проблема? пусть вбивает что хочет и пусть томкэт ругается на все, что вбито не правильно. если юзеру хочется вбивать руками правильно, пусть воспользуется любым из доступных онлайн url-encoder-ов. главное чтоб твой софт правильные url-ы формировал.тут такая вещь , что ломятся все кому не лень и подбирают все возможные комбинации. если сервер отвечает страницей с ошибкой - это не просто информация, а дополнительная инфа для атакующего. и если там ответ кошки - область для атаки сокращается многократно. asv79так ты чего мапишь куда то левые запросы? помоему если пользотватель ввел херню типо шттпс:твой сайт/все что угодно то он должен получить 404 ,разве не? твой магазин вскроют через 20 мнут, если будешь так думать. как его вскроют если контроллеры обрабатывают лишь конкретные урлы тоесть вот есть урла где твои товары рестятся из базы в json например каким то магазинам по меньше напрмер магахин/прайс и они получают в ответ джейсона ,из которого могут прайс составить(так щас почти все оптовики работают) ну вот и как они ко мне влезут если они введут мой сайт/какая то хрень? у меня по этому запросу ничего нет,значить будут получтать 404 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 18:57 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
asv79как его вскроют если контроллеры обрабатывают лишь конкретные урлы тоесть вот есть урла где твои товары рестятся из базы в json например каким то магазинам по меньше напрмер магахин/прайс и они получают в ответ джейсона ,из которого могут прайс составить(так щас почти все оптовики работают) ну вот и как они ко мне влезут если они введут мой сайт/какая то хрень? у меня по этому запросу ничего нет,значить будут получтать 404гы-гы ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 19:10 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
asv79, конечно, сайты на java это более качественный уровень защиты, по сравнению с php, но всё же надо ограничивать доступ к любо информации - любопытных спецов много. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 19:22 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадяasv79как его вскроют если контроллеры обрабатывают лишь конкретные урлы тоесть вот есть урла где твои товары рестятся из базы в json например каким то магазинам по меньше напрмер магахин/прайс и они получают в ответ джейсона ,из которого могут прайс составить(так щас почти все оптовики работают) ну вот и как они ко мне влезут если они введут мой сайт/какая то хрень? у меня по этому запросу ничего нет,значить будут получтать 404гы-гы я вот будет время задеплою свой шоп на боевой сервер специально ради того ,чтобы ты туда влез))) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 19:23 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадяasv79, конечно, сайты на java это более качественный уровень защиты, по сравнению с php, но всё же надо ограничивать доступ к любо информации - любопытных спецов много. так на чем у тебя сайт?на пхп или джаве ? ты просто тему в джаве создал ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 19:24 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Если вы обсуждаете атаку - вы должны конкретно смоделировать ее сценарий воспроизведения. Большинство известных уязвимостией собрано и классифицировано здесь https://www.owasp.org/index.php/Category:Java ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 19:28 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
asv79так на чем у тебя сайт?на пхп или джаве ? ты просто тему в джаве создала ты не заметил код и текст? ты кода-нибудь видел даже простейшие попытки проникновения? даже если у тебя простой магазин - то есть страницы для всех и для избранных, а всем даже имена страниц для избранных знать не стоит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 19:32 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
mayton, вот и я о том же ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 19:34 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
maytonБольшинство известных уязвимостией собрано и классифицировано здесьвот ещё бы сервис по проверке.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 19:37 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадя, мы работали с Дойче-Банком. Тот покупал лицензию на Veracode. https://www.veracode.com/ Эта штука сканирует все твои сорцы на предмет типичных уязвимостей. Типа например пользовательский ввод напрямую попадает в веб-билдер и косвенно позволяет сделать фейковый серверный скрипт. В этом случае Виракод выбросил отчет с инцедентом. Если у вас туго с деньгами - можно попробовать бесплатный Сонар-Куб и поискать к нему такие-же бесплатные плагины для поиска vulnerabilities. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 19:48 |
|
||
|
|
start [/forum/topic.php?fid=59&msg=39858732&tid=2121134]: |
0ms |
get settings: |
8ms |
get forum list: |
11ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
36ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
58ms |
get tp. blocked users: |
1ms |
| others: | 11ms |
| total: | 143ms |
| 0 / 0 |
