tomcat 400错误

最新推荐文章于 2025-05-15 16:43:16 发布
最新推荐文章于 2025-05-15 16:43:16 发布
阅读量5.7k 收藏 8
点赞数
分类专栏: 杂七杂八 文章标签: tomcat java 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qingzhantianxia/article/details/120248127
版权
本文介绍了Tomcat服务器在处理请求时出现400错误,导致中间件版本和异常信息泄露的问题。问题源于传递了无效字符,特别是未正确编码的特殊字符。修复方法是在`server.xml`中配置`relaxedQueryChars`属性,允许特定的特殊字符。此问题在高版本Tomcat中普遍存在,修复后能增强服务器的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本片文章是对tomcat 400 错误造成信息泄露,如何进行修复进行描述,希望可以对非安全专业的互联网工作人员提供一点帮助,本片文章内容确实也是笔者最近遇到的一些问题。

漏洞描述

tomcat 发生400 错误,暴露出中间件版本、以及程序抛出的一些异常。

异常内容为

    org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:503)
	org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:502)
	org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:65)
	org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:818)
	org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1627)
	org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
	java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
	java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
	org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
	java.lang.Thread.run(Thread.java:745)

和图片有点不一样,因为这个是我从网上粘贴写来的,不过出现异常的一样的,

虽然实际危害也就那么回事,但是这个毕竟是项目上遇到的问题,打码还是最基本的职业道德。
在这里插入图片描述

原因说明

其中图片中这些异常都不是重点,重点是

在请求目标中无法找到有效字符,有效字符在RFC 7203和 RFC 3986 中定义

这个报错的英文版是

Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

就是说我们传递了无效字符,tomcat 无法处理导致报错,这个问题在高版本tomcat 中均存在,从7.0.88开始,大多数tomcat版本都会出现此问题。

截图中测试者直接使用burp Suit 传递了一个 XSS payload去测试 autoCode 参数,由于是burp 直接输入的payload, “<”、">",等特殊字符未进行url 编码,tomcat 处理不了了,而tomcat没有报500的服务器端错误,而是报的400错误(请求报文存在语法错误),这是因为,这个错误被认为是客户端的错误(tomcat 是这样认为的)。

修复方法

Tomcat增强了其安全性,并且不再允许在查询字符串中使用原始方括号。在请求中,我们有{,} 或其他符号("<",">","[","}"等),因此服务器未处理该请求。

在tomcat conf路径下的server.xml文件里面的 Connector 标签下添加属性 relaxedQueryChars:



    <Connector port="8080" protocol="HTTP/1.1"
                   connectionTimeout="20000"
                   redirectPort="8443"
                   maxHttpHeaderSize ="10240"
                   relaxedQueryChars="{,}"/>

一般直接添加这个

<Connector port="8084" protocol="HTTP/1.1" relaxedPathChars="[]|" relaxedQueryChars="[]|{}^&#x5c;&#x60;&quot;&lt;&gt;" useBodyEncodingForURI="true" connectionTimeout="20000" redirectPort="8443" URIEncoding="UTF-8"/>

多符号可以用"," 隔开,上面那些奇怪的编码是html 实体编码,内容是<、>等符号,直接输入这些符号有些会导致tomcat报错,无法启动服务的,这也是跟实施人员沟通过后才了解到的。

至于中间件版本好的隐藏,大家去百度的,懒得写了。。。。

升级tomcat导致静态资源报错400
httxiao的博客
10-09 3257
先上结论:tomcat7.0-106之后的版本(包括8.5xx之后的版本,只是下了个较新的测试)改了DefualtServerlet类checkIfNoneMatch方法中的比较逻辑,导致用java中引号"与页面传过来被转义了accssi码的引号&-quot;(此处多加了一个符号-)进行比较,使结果不成立,返回了400。处理方法:在DefualtServerlet类中将界面中的If-None-Match对应的字符串中的引号&-quot;(此处多加了一个符号-)使用repalceAll替换成"
tomcat 400错误跳转自定义页面
u014153748的博客
12-04 5828
tomcat 400错误跳转自定义页面 springMVC在web.xml设置可以拦截404,500等错误跳转到自定义页面,但是无法拦截400错误。 <error-page> <error-code>404</error-code> <location>./404.jsp</location> </error-page> <error-page> <error-code>500</error-cod
Tomcat报404问题解决方案大全(包括tomcat可以正常运行但是报404)
m0_67393827的博客
03-22 2039
这个问题可能会发生在,用的老师的压缩包没有去官网上下载,或者在自己使用过一段tomcat甚至项目都可以运行起来的时候,因为这种情况下可能会误删电脑上的文件。端口占用可能会出现这个问题,因为tomcat的默认端口号是8080,如果在是运行tomcat时计算机的程序也有8080的端口号,这时候就会报错404。改成自己喜欢的端口8888,9999什么都可以,不要与其他服务端口相同就行,修改后。这个问题可有可无,意思是正常情况下,有没有都是可以访问滴放心。官网下载较慢,我在网盘中放了9.0.78版本的压缩包。
Tomcat 400错误
m0_67393828的博客
03-23 704
Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986 新版本的tomcat对url的参数做了比较规范的限制,必须按照RFC 7230 and RFC 3986规范,对于非保留字字符,如果不做转义处理,一律都会报The valid characters are defined in RFC 7230 and RFC 3986 错误。 org.apache
Tomcat--配置400 404 500自定义错误页面_tomcat自身定义404不包含项目(1)
2401_84254011的博客
05-13 433
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。=======================================错误页配置结束======================================对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。尊敬的朋友,后台服务器有问题,工程师们正在努力抢修中,请稍后访问......因篇幅有限,仅展示部分资料。
tomcat 400 The valid characters are defined in RFC 7230 and RFC 3986
最新发布
qq_41451744的博客
05-15 861
中配置错误处理,需根据实际场景和需求权衡。在遇到 Tomcat 因 URL 非法字符返回 400 Bad Request。
tomcat配置自身错误页面
11-24
tomcat配置自身错误页面,直接替换tomcat本身的root文件夹即可。然后修改web.xml,具体方式详见:https://blog.youkuaiyun.com/f552126367/article/details/107999676
Tomcat升级版本出现400问题
萌兔兔MMQ!!
07-18 2702
由于Tomcat的新版本中增加了一个新特性,就是严格按照RFC3986规范进行访问解析,而RFC3986规范定义了Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(RFC3986中指定了以下字符为保留字符!根据rfc规范,url中不允许有|,{,}等特殊字符,但在实际生产中还是有些url有可能携带有这些字符,特别是|还是较为常见的。以往久远项目经过安全扫描后,发现tomcat版本问题有很多安全问题,故同大版本升级了tomcat小版本版本。...
tomcat请求url过长报400
u013701217的博客
05-31 2037
tomcat为什么url过长会报错
Tomcat 400,404,405,500等错误
菜鸟拥有不太多的知识
04-20 499
1.无法访问此网站 是因为Tomcat没有启动启动工程即可:在工程名字上右键run as run on Server 2.错误码404找不到资源检查路径拼写,检查资源文件位置,如果请求的是Servlet检查web.xml中路径和Servlet类的对应关系 3.错误码405找到了Servlet但是找不到对应的方法检查Servlet类中的方法是否正确,可以重新重写方法解决 4.错误码500 找到了Servlet也执行了对应的方法,在执行方法的过程中出错.出错可能性较多要分析自己所写的业务代码 5.访问Ser
Tomcat错误400:请求头过大
姜太小白的博客
07-08 3397
Tomcat错误400:请求头过大
JavaScript学习笔记(三十)——HTTP与HTTPS
qq_45268602的博客
09-16 513
转载于:https://www.cnblogs.com/ok-lanyan/archive/2012/07/14/2591204.html HTTP HTTPS WebService HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。它于1990年提出,经过几年的使用与发展,得到不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版,HTTP/1.1的规范化工作正在进行之中,而且HTTP-NG(Next Generation of HTTP)的建议已经提
Tomcat8版本以上配置自定义400错误页面
Halo333的博客
09-04 1155
java.lang.IllegalArgumentException: 在请求目标中找到无效字符。有效字符在RFC 7230和RFC 3986中定义。在webapps -> ROOT项目下新建一个自定义的HTML页面,例如我的是400_error.html。再次请求就只会打印一个标题了,屏蔽了重要信息。再次请求就会重定向到你的自定义页面了。
解决Tomcat出现400问题
热门推荐
weixin_43233003的博客
03-06 1万+
有时我们使用SSM框架时,会出现400错误和这样的The server cannot or will not process the request due to something that is perceived to be a client error (e.g., malformed request syntax, invalid request message framing, or...
tomcat9 400错误无法跳转
oTianKongLan123的博客
06-08 1327
为H:\apache-tomcat-9.0.60\webapps\ROOT\添加一个html页面 error.html。修改H:\apache-tomcat-9.0.60\conf\server.xml。但是改完发现400无法拦截,只得去国外论坛看了下。不得不说还是国外大佬牛啊 国内搜了一个上午。下web.xml进行修改。
Tomcat 400错误 问题集锦
weixin_30363981的博客
11-08 837
1.前后台参数类型不一致 上图错误提示就是客户端发送的请求不能找到你的具体的页面或者地址,这是Spring MVC抛出的错误,这样我们就要进行参数的检查,一定是JSP提交的参数和Controller里面的参数不一致(有很多种情况,比如我的问题), 我的JSP代码: <input type="hidden" title="id" name="id" value="${admin....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值