Jetty HTTP2.0 DoS漏洞分析

最新推荐文章于 2025-06-02 14:49:15 发布
最新推荐文章于 2025-06-02 14:49:15 发布
阅读量2.6k 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: jetty
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/BASK2311/article/details/130740845
文章介绍了Jetty的一个中级漏洞,该漏洞可能导致DoS攻击,特别是在开启HTTP2.0功能后。攻击者通过慢速攻击策略如SlowHeader、SlowPOST和SlowRead耗尽服务器资源。作者详细解析了漏洞源码,解释了修复措施,并提供了一个Python脚本模拟SlowRead攻击,展示了如何利用和防范此类攻击。最后,文章提醒使用旧版Jetty的用户应考虑升级以避免风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

Tomcat和Jetty都是被广泛用于项目的开源Servlet容器。本文不会阐述Tomcat和Jetty之间的区别,感兴趣的同学可以自行学习相关内容。

Jetty团队去年在github issues中爆出了一个可能被DoS攻击的中级漏洞。github.com/eclipse/jet…

大致是,在Jetty容器引用http2-server组件开启HTTP2.0功能后,同时开发者提供了使用HTTP2.0协议服务接口。访问非正常URL时,攻击者可以通过耗尽TCP滑动窗口或HTTP2.0流控来达到耗尽Jetty服务器资源,从而达到DoS攻击效果。噢吼,这不就是HTTP慢速攻击吗。下面我们先来介绍一下HTTP慢速攻击,再来分析Jetty有漏洞的源码,之后我们做个实验来验证一下这个漏洞。

HTTP慢速攻击

HTTP慢速攻击是应用层DoS攻击的一种。由Web安全专家RSnake在2009年提出的一种攻击方式,其原理是以极低速度向服务器发送HTTP请求,服务器有并发数限制。一旦这些恶意链接不释放,同时不停的创建新的恶意链接就会导致服务器资源被耗尽。

HTTP慢速攻击一共有3种

Slow Header攻击

Slow Header攻击利用HTTP 请求头设计。众所周知HTTP Header是文本信息。每个属性,比如Content-Type: text/plain都是由"\r\n"来进行分隔的。最后一个属性后面会拼接"\r\n\r\n"来告知服务器请求头已传输完毕,请处理我的请求。攻击者利用这个设计,永远不传"\r\n\r\n",同时,我们也知道HTTP服务器在没有接收到完整的请求头是不会处理请求的。这时,服务器就不得不一直维持着链接。一旦存在大量这种链接,就会导致服务器资

最低0.47元/天 解锁文章

200万优质内容无限畅学
Jetty Ambiguous Paths 信息泄露漏洞CVE-2021-28164/CVE-2021-34429)
qq_62056583的博客
07-07 2685
Jetty9.4.37版本中,为了符合。称为点段,这是为了路径名层次结构中的相对引用定义的,它们在一些操作系统文件目录中分别代表当前目录和父目录,但是在Jetty中这些点段仅在URL路径中解释层次结构,在解析过程中通过解析去除一部分,所以我们在解析URL路径的时候首先需要处理...。针对在前端解析url编码的问题所在,我们可以选择在安全校验中可以选择将二次规范化的步骤提前至第四步来,又或者说进行多步规范化处理,虽然会耗费更多的资源但是用来根本上解决一个标准解析的问题出现也是可以接受的。
Jetty 安全漏洞分析
热门推荐
xyp632的博客
05-22 2万+
Jetty 安全漏洞分析1. 安全问题分析2. 升级验证3. Jetty版本不准确问题分析4. Jetty版本不能准确的临时解决方案5. 应用例子案例 1:metabase案例 2:jenkins 记录日期:2021/5/21 1. 安全问题分析 在做服务器安全扫描时,有时会报出 jetty漏洞。 查看漏洞详情可知,低版本的 jetty 包含漏洞,升级 jetty 到新版本就可以修复这些漏洞漏洞 官方问题连接 修复版本 Eclipse Jetty HTTP请求走私漏洞CVE-
CVE-2021-28164源码分析漏洞复现
spinage的博客
06-01 792
CVE-2021-28164 是 Eclipse Jetty 服务器在处理 URI 路径时因**编码解析顺序与路径规范化逻辑冲突**导致的安全漏洞。攻击者通过构造包含 URL 编码点段(如 `%2e`)的恶意路径(如 `/%2e/WEB-INF/web.xml`),可绕过安全校验直接访问 `WEB-INF` 目录下的敏感文件(如 `web.xml`、`classes` 等),导致应用配置、数据库凭证等敏感信息泄露。
web服务器/中间件漏洞系列6:jetty漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-02 2万+
JETTY简介: Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。 一、CVE-2021-28164 [34429] 敏感信息泄露 1、漏洞简介: 在Jetty9.4.37版本中,为了符合RFC3986中的规范,选择性地支持可能有歧义解释的URI,默认模式允许URL编码,简单看下RFC3986(替代RFC2396)的规定 其大致意思是:..
HTTP2.0 协议被曝 4 个高危漏洞,可致服务器崩溃
weixin_34375233的博客
06-02 318
如果你认为HTTP2.0协议比标准HTTP(超文本传输协议)更安全,那你就错了。有研究人员花费4个月的时间在HTTP2.0协议中发现4个漏洞! 去年2月,谷歌把自家的SPDY项目捆绑进HTTP2.0,意在加强网页加载速度和用户的在线浏览体验。三个月后HTTP2.0正式发布,HTTP2.0如今已成为大部分网站最主要的HTTP协议版本。 来自Imperva(...
GeoServer 2.11.1升级解决Eclipse Jetty 的一系列安全漏洞问题
diaya的专栏
02-06 3292
下载 Geoserver2.32.4,先装了JDK17,再装了GeoServer2.23.4。网址访问一切正常,建了工作空间,在存储仓库里选 shapefile新建时,点“浏览”,竟无法弹出选文件的窗口,查看调用显示下错。接到安全评估报告,发现上面一堆关于Jetty的安全问题,后得知,是GeoServer2.11.1中用的jetty版本太低导致。Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7658)2、先卸载原有的geoserver2.11.1,再卸载其配套的jre 8。
杂项HTTP2.0漏洞
01-07
#### Jetty HTTP2.0 DoS漏洞分析Jetty容器引入`http2-server`组件并启用HTTP2.0特性时,如果应用程序暴露了基于此协议的服务端口,则可能存在被恶意利用的风险。具体来说,通过构造异常的URL请求,攻击者能够...
Jettyhttp2模块
Jackie的家
03-13 652
Jettyhttp2模块
web漏洞之中间介漏洞
小白的博客
05-08 723
IIS 解析漏洞 IIS6.x 基于文件名 将 *.asp;.jpg 此种格式的文件名,当成asp解析, 原理:服务器默认不解析; 号及其后面的内容,相当于截断。 基于文件夹名 将 *.asp/目录下的所有文件当成asp解析 其他 默认会将扩展名为.asa,.cdx,.cer解析为asp 漏洞修复 限制上传目录执行权限,不允许执行脚本 不允许新建目录。 上传的文件需经过重命名(时间戳+随机数+.jpg等) IIS7.x 漏洞描述 CGI运行模式 CGI即通用网关接口(Common Gat
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
明哥的IT随笔
01-01 1227
大家好,我是明哥!近期 LOG4J 围绕JNDI的安全漏洞频繁暴雷,着实让小伙伴们忙活了一阵。本文我们就一起来看下,CDH/HDP/CDP 等大数据平台中如何快速应对 LOG4J 的 JN...
CDH 端口未授权访问:hdfs-50070, yarn-8088, jetty漏洞修复
eyeofeagle的博客
10-05 6837
【代码】CDH 端口未授权访问:hdfs-50070, yarn-8088, jetty漏洞修复。
CVE-2021-28169源码分析漏洞复现(Jetty信息泄露)
最新发布
spinage的博客
06-02 930
Jetty ConcatServlet存在多重解码漏洞CVE-2021-28169),影响Jetty 9.4.0-9.4.39等版本。攻击者通过构造双重URL编码路径(如/%2557EB-INF/web.xml)可绕过安全校验,访问WEB-INF目录下的敏感文件。漏洞源于ConcatServlet处理请求时多次解码URL,而安全校验仅针对首次解码后的路径,导致二次解码后路径被错误放行。官方修复方案是移除二次解码逻辑,仅保留路径规范化。建议升级至Jetty 9.4.40+等修复版本,或通过增强校验、输入过滤
jetty防止Dos攻击的filter实现分析
weixin_34331102的博客
07-29 260
jetty的org.eclipse.jetty.servlets.DoSFilter类是用来实现Dos攻击预防的filter,里面涉及到一些变量,先了解下变量的含义: protected long _delayMs;超过最大处理请求数当前请求的等待时间,-1立即拒绝,0,无限等待,正数表达等待的毫秒数 protected long _throttl...
CVE-2021-28164Jetty 不明确路径信息泄露漏洞
2301_77565393的博客
06-27 592
payload1:/%u002e/WEB-INF/web.xml 利用这个payload 用于绕过限制。执行以下命令以启动 Jetty 9.4.37 服务器。服务器启动后,请访问以查看示例页面。
【OPNEGIS】Geoserver原地升级jetty,解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)
zhoulizhu的博客
12-11 7536
Geoserver是我们常用的地图服务器,在开源系统中的应用比较广泛。在实际环境中,我们可能会选用官方的二进制安装包进行部署,这样只要服务器上有java环境就可以运行,方便在现场进行部署。
kettle自带jetty漏洞处理
赵得C
10-22 876
Jetty-server 9.4.50及之前版本,10.013及之前版本,11.0.13及之前版本,12.0.0.alpha3及之前版本。Eclipse Jetty 9.4.46及之前版本、10.0.9 及之前版本、11.0.9及之前版本。替换kettle安装目录data_integration\lib下原有jetty-util Jar包。1、kettle自带jetty存在的漏洞类型。Jetty 资源管理错误漏洞Jetty 输入验证错误漏洞Jetty 信息泄露漏洞Jetty 安全漏洞
(CVE-2021-28164/CVE-2021-34429)Eclipse Jetty WEB-INF敏感信息泄露漏洞分析
weixin_50464560的博客
10-04 8980
本文主要从Jetty的两个WEB-INF信息泄露漏洞CVE-2021-28164和CVE-2021-34429,来分析如何通过编码和相对路径来绕过对敏感信息的校验,以及Jetty中对URL的PATH的解析方式和存在的问题。 漏洞信息 Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。 在Jetty9.4.37版本...
[CVE-2019-17638]Jenkins自带Jetty的缓冲区损坏
公众号shadow sock7
08-18 1561
参考: https://www.jenkins.io/security/advisory/2020-08-17/ https://github.com/advisories/GHSA-x3rh-m7vp-35f2 https://github.com/eclipse/jetty.project/issues/4936 https://nvd.nist.gov/vuln/detail/2019-17638 这样启动jenkins时使用的是Jenkins自带的jetty: java -jar jenkin
Jetty 9.3庆祝20周年生日快乐,并增加HTTP/2支持
weixin_33937778的博客
06-27 131
今年6月12日,Jetty项目发布了旗舰性开源嵌入式应用服务器的9.3版,同时这一天也是该项目的20周年纪念日。此次发布的主要特性包括增加了对HTTP/2服务端(与客户端)支持、系统最低要求Java 8,以及更多的NIO集成与完全重构的调度器。此外,该版本还移除了SPDY网络支持、并修复了自Jetty 9.2.x以来的400多个Bug。\\Jetty的主开发者Greg Wilkins撰写了一篇博文...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值