Jetty容器,关闭浏览器输入目录可以访问到资源路径

背景:在项目渗透测试中发现的这个问题,在浏览器输入对应的目录后,居然访问到了服务器的某些静态资源,这个就很危险了,必须解决。

起初以为是springboot的问题,查了各种资料,写了各种拦截器,过滤器,都不好使,不管怎么写都还是可以访问到这个目录。

最后,卧槽,灵感来了,我直接复制下面的Name,Last Modified,Size去搜索,还真让我给瞎猫碰到死耗子搜到了,是jetty引起的

关闭这个也很简单,在jetty容器的etc目录里的webdefault.xml文件,把dirAllowed设置false就可以了,如下:

        <init-param>
	  <param-name>dirAllowed</param-name>
	  <param-value>false</param-value>
	</init-param>

如果是项目内集成的jetty的话,也是要设置dirAllowed为false,如下:

webAppContext.setInitParameter("org.eclipse.jetty.servlet.Default.dirAllowed", "false");

 

 

评论

  1. 2 年前
    2022-9-07 22:43:21

    博主,交换友情链接吗?

    • 博主
      admin
      2 年前
      2022-9-07 22:46:21

      可以。

  2. 2 年前
    2022-10-22 14:59:33

    博主,换友情链接吗?

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇