Spring Boot 目录遍历(CVE-2021-21234)
CVE-2021-21234 是 Spring Boot 中的一个目录遍历漏洞,该漏洞存在于 Spring Boot 的内置 Tomcat Web 服务器中。攻击者可以通过发送一个特制的 HTTP 请求,利用这个漏洞来访问服务器上的敏感文件。
解决方法:
升级 Spring Boot 至安全版本:开发者应该立即将 Spring Boot 的版本升级到受影响版本的安全补丁版本。
- 如果你使用的是 Maven,可以在
pom.xml中修改版本号。 - 如果你使用的是 Gradle,可以在
build.gradle中修改版本号。
- 如果你使用的是 Maven,可以在
- 应用安全补丁:如果不能立即升级,可以应用官方提供的安全补丁。
- 配置安全的
server.servlet.context-path和server.servlet.context-path属性,以防止直接访问应用内部路径。 - 配置
server.tomcat.access-log-enabled为false可以减少因为目录遍历而导致的日志记录。 - 使用非默认端口,并配置防火墙规则来限制对端口的访问。
- 使用 Web 应用防火墙 (WAF) 来增强安全性。
以下是一个如何在 Spring Boot 应用中设置安全上下文路径的示例:
# application.properties
server.servlet.context-path=/app
server.servlet.context-path=/app或者在 application.yml 中:
# application.yml
server:
servlet:
context-path: /app
context-path: /app确保 /app 是你想要的上下文路径,并根据需要进行更改。
评论已关闭