포트 80 및 443에서 수신 대기하는 apache tomcat 서버에서 실행되는 심각한 보안 문제가 있습니다. 이러한 포트에서 들어오는 HTTP/HTTPS 패킷의 라우팅은 제품 클래스에 의해 구성되며 실패합니다 요청 된 각 URL이 서버의 웹 루트 내에 있고 제공 될 수있는 유형의 파일을 참조하는지 확인합니다.Tomcat에서 파일 액세스 제한
특히 url에 '/ error/*'와 일치하는 패킷은 'docroot'폴더를 파일 제공을위한 문서 루트로 사용하도록 구성됩니다. 따라서 URL 인코딩 된 백 슬래시 인 %5C
을 사용하여/error/디렉토리 (예 : docroot) 디렉토리를 통과하는 경로에 액세스하고 다운로드 할 수 있습니다. docroot를 같은 수준에있는 원격 파일 settings.properties에 액세스 할 수
https://MyDomain/error/..%5c..%5csettings.properties
- 예를 들어 원격 사용자가 같은 URL을 제공 할 수 있습니다. 우리는 방화벽 규칙과 네트워크 세분화를 통해이를 극복하려고 노력하고 있습니다. 하지만 원격 사용자가 프로젝트 루트 폴더 외부의 파일에 액세스하지 못하게하는 데 사용할 수있는 tomcat의 설정이 있습니다. 그것은 매우 유용 할 것입니다.
파일 경로 이외의 * .txt, * .properties와 같은 파일 형식에 대한 액세스를 차단할 수있는 필터링 옵션이있는 경우에도 매우 유용합니다. – user496934