本文详细介绍了 Apache Tomcat 中一个高危的目录遍历漏洞,该漏洞源于对 UTF-8 编码处理不当,允许攻击者通过特定 URL 访问服务器上的任意文件。文中提供了漏洞触发条件、影响范围及修复建议。
Apache Tomcat出了一个类似当年IIS url 编码的漏洞。漏洞发生在Apache Tomcat处理UTF-8编码时,没有正确转换,从而导致在处理包含%c0%ae%c0%ae的url时转换为类似../的形式,使得可以遍历系统任意文件,包括
/etc/passwd等
触发的条件为Apache Tomcat的配置文件context.xml 或 server.xml 的'allowLinking' 和 'URIencoding' 允许'UTF-8'选项
VBS 测试版:
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
