Уязвимость на основе пути в Spring hybris
У нас есть проблемы с уязвимостью на основе пути в отчете Qualys. Я рассмотрел такие вопросы, как этот, и настроил для useDefaultSuffixPattern значение false, как показано ниже.
Я все еще могу загрузить страницу с помощью /about.anything, хотя в контроллере я указал как @RequestMapping(value = "/about")
Есть ли какие-либо другие конфигурации, которые нам нужно обновить, чтобы этого не произошло?
<bean
class="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping">
<property name="order" value="0" />
<!-- Set whether to register paths using the default suffix pattern as
well: i.e. whether "/users" should be registered as "/users.*" and "/users/"
too. Default is "true". Turn this convention off if you intend to interpret
your @RequestMapping paths strictly. Note that paths which include a ".xxx"
suffix or end with "/" already will not be transformed using the default
suffix pattern in any case. -->
<property name="useDefaultSuffixPattern" value="false" />
<property name="pathMatcher" ref="pathMatcher" />
</bean>
Мы используем версию hybris 1811
1 ответ
Решение
Это может происходить из-за встроенной ошибки Spring, когда игнорируется все, что стоит после точки (.) В URL-адресе.
Чтобы решить эту проблему, вы должны создать более жесткий шаблон переменной пути для вызова GET в вашем контроллере.