客户扫描出了一个漏洞，请帮忙看下 - JEECMS官方论坛|开源java cms,jsp cms,jsp bbs

hzkj1024

级别: 贡士

UID: 138460
积分:537 加为好友
威望: 15 精华: 0
主题:64 回复:285
注册时间:2021-07-05
在线时长:0.17

1# 发表于:2023-09-08 09:10:14 IP:117.202.*.*

显示全部只看该作者

这个改如何解决？

使用道具
顶端

hzkj1024

级别: 贡士

UID: 138460
积分:537 加为好友
威望: 15 精华: 0
主题:64 回复:285
注册时间:2021-07-05
在线时长:0.17

2# 发表于:2023-09-08 09:29:47 IP:117.202.*.*

显示全部只看该作者

26-Aug-2023 08:46:43.113 信息 [http-nio-8081-exec-5] org.apache.coyote.http11.Http11Processor.service 解析 HTTP 请求 header 错误
注意：HTTP请求解析错误的进一步发生将记录在DEBUG级别。
java.lang.IllegalArgumentException: 在方法名称中发现无效的字符串, HTTP 方法名必须是有效的符号.
at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:434)
at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:511)
at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:65)
at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:831)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1651)
at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:748)

应该是这个问题，我看每天的日志都有

使用道具
顶端

yin2035

级别: 总版主

UID: 10736
积分:148381 加为好友
威望: 205 精华: 42
主题:287 回复:126139
注册时间:2010-09-08
在线时长:15.55

3# 发表于:2023-09-08 10:10:32 IP:183.124.*.*

显示全部只看该作者

4、Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
修改下tomcat的server.xml<Connector>标签中，加入relaxedPathChars="|{}[],%;*\()" relaxedQueryChars="|{}[],%;*\()"即可

路漫漫其修远兮，吾将上下而求索!

使用道具
顶端

yin2035

级别: 总版主

UID: 10736
积分:148381 加为好友
威望: 205 精华: 42
主题:287 回复:126139
注册时间:2010-09-08
在线时长:15.55

4# 发表于:2023-09-08 10:11:26 IP:183.124.*.*

显示全部只看该作者

，您好！您的论坛会员服务已过期，暂时不提供技术支持服务了。如需要技术支持，请联系官网售前客服续费服务

路漫漫其修远兮，吾将上下而求索!

使用道具
顶端

hzkj1024

级别: 贡士

UID: 138460
积分:537 加为好友
威望: 15 精华: 0
主题:64 回复:285
注册时间:2021-07-05
在线时长:0.17

5# 发表于:2023-09-08 10:21:06 IP:117.202.*.*

显示全部只看该作者

使用道具
顶端

hzkj1024

级别: 贡士

UID: 138460
积分:537 加为好友
威望: 15 精华: 0
主题:64 回复:285
注册时间:2021-07-05
在线时长:0.17

6# 发表于:2023-09-08 16:51:49 IP:117.202.*.*

显示全部只看该作者

试了，还是有这个问题

使用道具
顶端

hzkj1024

级别: 贡士

UID: 138460
积分:537 加为好友
威望: 15 精华: 0
主题:64 回复:285
注册时间:2021-07-05
在线时长:0.17

7# 发表于:2023-09-08 16:52:16 IP:117.202.*.*

显示全部只看该作者

08-Sep-2023 14:18:33.392 信息 [http-nio-8081-exec-10] org.apache.coyote.http11.Http11Processor.service 解析 HTTP 请求 header 错误
注意：HTTP请求解析错误的进一步发生将记录在DEBUG级别。
java.lang.IllegalArgumentException: 在方法名称中发现无效的字符串, HTTP 方法名必须是有效的符号.
at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:434)
at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:511)
at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:65)
at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:831)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1651)
at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:748)
08-Sep-2023 14:39:07.642 信息 [http-nio-8081-exec-5] org.apache.tomcat.util.http.parser.Cookie.logInvalidHeader 收到包含无效cookie的cookie头[1688969954,1688970546,1691203239]。将忽略该cookie。
注意：此错误的进一步出现将记录在调试级别。