我在其中一个场景中面临Apache Tomcat examples目录漏洞,我使用的模式"..;"在url相关路径中,如下所示:https://website.com/../manager/html,因为它是一个基于servlet的应用程序,当我使用"..;"时会出现问题或任何以"..;"开头的模式https://website.com/..;..=/经理.html我可以通过<CATALINA_HOME>\conf\web.xml'。除此决议外,我们如何消除分号或模式"..;"在URL中。
您运行的是2013年发布的分支(6.0.x(版本,该版本已于2016年终止。从那时起,许多安全问题都得到了解决。
唯一明智的建议是升级到一个仍在维护的版本(例如Tomcat9(,再也不要让自己落后于时代,尤其是在服务器端软件上。
你可能想尝试6.0.53是否修复了这个特定的问题,但这不是一个长期的解决方案,只是在你最终进行主要版本升级之前尝试修复这个你知道的特定问题的一种快速方法,以修复所有你还不知道的问题: