目录横穿“(Ttaversal)”问题的解决办法

最新推荐文章于 2025-12-01 17:26:37 发布
原创 最新推荐文章于 2025-12-01 17:26:37 发布 · 955 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#lotus #服务器 #traversal #url #文档 #http服务器


 



最近一周,在BugTraq的Internet 邮件列表中报告了 “Domino 服务器目录‘横穿’(Traversal)缺陷”,经证实这确实是一个问题,R5.06a正在修复。应敦促在Domino服务器上运行HTTP服务器任务的客户在R5.06a完成后立即升级。与此同时,下面是简单的应对方法。

Q&A

Q:“目录‘横穿’(Traversal)”缺陷的实质是什么?
A:给出已知路径和文件名,就能够访问到运行HTTP任务的Domino服务器上的文件。这受安装Domino服务器的文件系统(或驱动器)的限制。你不可能浏览文件系统,但如果能够猜出当前文件名,就能够访问它。

Q:影响哪些Domino版本?
A:R5.0 - R5.06 不影响R4x

Q:我如何跟踪这个问题?
A:软件问题报告(SPR)的编号为KSPR4SPQ5S。问题修复后就会列入Notes.net上的修复列表(Fix List)数据库----www.notes.net/R5FixList.nsf

Q:Lotus计划如何解决这个问题?
A:Lotus 高度重视这个问题,修复版正在测试中。修复计划在R5.06a中进行,并且一旦修复版完成就会放到http://www.notes.net上。

Q:是否有应对办法?
A:有。在R5.06a完成以前,推荐使用以下应对方案:

1.打开Administration Client
2.选择希望配置的服务器
3.在“配置”标签页的“服务器”区段中,选择当前服务器文档
点击“Web”按钮
选择“创建URL 映射/重定位文档”
4.在URL重定位文档中
在“基本”标签页选择URLà重定位URL
在“映射”标签页
输入的 URL: *..*
重定位 URL: [指定你希望用户重定位到的URL,例如
http://hostname/homepage.nsf
http://hostname/message.html]
注意:指定的URL必须是外部的重定位,而不能是内部的重定位。因此,http://myserver/message.html是有效的,而/message.html是无效的。
5.保存文档
6.重起HTTP任务


Q: 影响哪些操作系统?
A: 代码修复并不特别针对哪个操作系统。Lotus QE 在Windows NT/2000,OS/2,WinNT Alpha 等平台上重现了这个问题。QE 无法在Unix ,Linux,AS/400或S/390上重现此问题,但客户不应当就认为这些系统难于攻击。这可能仅仅是因为这些系统有更加严格的文件系统许可设置。

Q: 如果不将Domino作为Web服务器,是否还存在这个问题?
A: 不存在。这个问题是特别针对运行HTTP任务或Domino for IIS的Domino系统的。

Q: 是否影响QuickPlace?
A: 是的。Lotus 正在计划推出R2.06a以解决这个问题。QuickPlace服务器的Administrator也应当实施URL重定位的应对方案。

Q: 如果不采用Notes Client管理Domino服务器,是否有其它应对方案?
A: 可以在 httpd.cnf文件中加入下列内容,执行类似的URL重定位。
Map *..* /filename.nsf

Q: 有人推荐采用文件保护文档作为应对方法。Lotus 认为如何?
A: 文件保护文档并不能解决这个问题的所有可能的出现。客户应当代之以回应中推荐的URL重定位文档。另外,强烈推荐客户在R5.06a完成后立即升级。

Q: BugTraq 的报告中声称R4.67也被影响了,是吗?
A: Lotus QE无法在任何R4.x版本上重现这个问题。

Q: R5.06a何时能够完成?
A: 一旦版本的回归测试完成,R5.06a就会放到http://notes.net上。

Q: 其它版本(例如R5.04或R5.05)是否会有QMU(Quarterly Maintenance Unit)?
A: 客户需要升级到R5.06a。

Q: 如果应用中使用带有“..”的URL,这种应对方法是否会中断这些应用?
A: 测试表明应用代码中的URL仍然是有效的。只有当用户在浏览器中直接键入带有“..”的URL时,重定位才会发生。这是唯一Lotus推荐的应对方案。

Q: 如果运行虚拟服务器,是否需要问每一个虚拟服务器都创建一个URL重定位文档?
A: 不需要。如果在文档中不特别指定一个IP地址,重定位将作用于机器上的所有虚拟服务器。

Q: 是否所有浏览器都能重现此错误?
A: 不是。只有某些浏览器发生了这样的问题。但是,这只说明一些用户重现这个问题有困难。因此仍然应该对所有Domino Web Server实施应对方案和升级。

Q: 是否还可以采取其它措施以降低出现这种缺陷的机会?
A: 下面的列表并不全面,但是一些快速的措施:
用口令保护Server id
以一个唯一的文件名重命名Server id
用Server 的id本地加密系统数据库(以及其它名字容易被猜到的数据库)
在隔离的文件系统中存储Domino目录
在服务器文档中禁止目录浏览

欲获得更多加强系统安全性的信息,请参看以下资料:
IBM红皮书,“Notes and Domino R5 Security Infrastructure Revealed”
http://notes.net的Iris Today 中发布的有关安全机制的文章
http://www.lotus.com/security Lotus Security Zone网站上的白皮书

最小化横穿北达科他州的直排轮滑补水次数
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
04-21 504
Gekko教授计划使用直排轮滑从明尼苏达州东部边境的大福克斯市出发,横穿北达科他州,抵达靠近蒙大拿州西部边境的威利斯顿市。他计划携带两公升水,并希望在喝光水之前能滑行m英里。北达科他州官方地图显示了U.S.2号公路上所有可以补充水的地点,以及这些地点间的距离。教授的目标是最小化横穿途中补充水的次数。
Traversal content
TRy HArD aT aNY TimE
10-04 199
traversal Processing {nodes} in a {graph} one at a time, usually in some specified order. Traversal of a tree is {recursive}ly defined to mean visiting the {root node} and trav...
CarMaker中关于交通目标行人横穿问题
自动驾驶仿真工程师
12-17 926
大家好,我是橙子,本文叙述的是用Carmaker搭建关于日常生活中一个比较常见的场景-行人横穿的例子,这个场景在测试ADAS里AEB功能时是常见的一个场景,由于在Carmaker中设置本车及目标车行驶路径时,是基于Route来放置的,而Route的方向与道路方向是一致,这就导致了无法在笔直道路上设置横穿路径,当然在无人驾驶领域,固有Route并非一定是本车得行驶路径,依据纯路径追踪算法,并给予相应自定义路径点定义,可以使本车按照自定义路径行驶。 1.第一步,选定被测车辆, ...
公理与逻辑只能解决部分智能问题
人机与认知实验室
01-18 961
公理和逻辑在很多领域中是至关重要的工具,尤其在数学、哲学和计算机科学等领域,它们为推理和证明提供了基础。然而,它们的适用性和局限性也值得深入探讨。1. 公理和逻辑的作用公理和逻辑为我们的思维提供了框架和规则。它们帮助我们从已知的事实出发,推导出新的知识或结论。尤其在数学中,公理作为基本的假设,可以用来建立整个理论体系。例如,欧几里得几何、集合论等都基于一组公理,通过严格的逻辑推理来发展出复杂的理论...
中间件安全-nginx目录穿越
ce666666的博客
01-24 4139
前言 中间件nginx漏洞 漏洞描述 Nginx配置别名(Alias)时,忘记加/,造成目录穿越漏洞。 漏洞原理 在nginx.conf配置目录别名/files配置/home的别名,访问/files…/时,nginx处理路径/home/…/,实现穿越目录。 步骤 切换到/vulhub/nginx/insecure-configuration目录,docker-compose up -d 开启容器 /files…/相当于执行切换到files文件,在切换到上级文件。 在该目录下选择某一目录,载进去。 查看
ReLu及其变体如何解决非线性问题
Kevin.wang
07-27 1597
我们知道线性方程可以做到,将一个平面划分成两个: 线性函数−5−2∗x+y-5-2*x +y−5−2∗x+y将一个平面分为两部分,使用Relu后,分类边界不再是横穿x-y位置的直线。将x轴以下的部分切掉,从而得到上面右侧图中所示的角度区域。 我们加入了四个relu函数,最终的输出是通过应用一个线性模型将所有这些角区域加到一起来构建的,看起来就像是平面折叠了一样。下面显示了这样一个输出决策区域的示例: 现在可以想象构建一个有20 ~ 30 Relus的网络,并得到如下所示的分类边界: 所以虽然ReLu
openlayers渲染轨迹线,跨越国际日期变更线(180°经线)时出现轨迹线横穿地图现象解决方案
jianjieX的博客
10-16 599
地图上的经度并不是处于-180至180范围,而是-720,-360,-180 ,0 ,180 ,360 ,720这种累加累减的地图,导致170,-170两个点,在实际地图上展示是170,190(-170+360所得)当轨迹线有穿越国际日期变更线的情况时,变更线两边的线上的点,不会直接相连,而是横饶地图一圈。例如:轨迹线上有两点,经度分别是170,-170,这两个点不会以最近线段相连。判断相邻两点的经度差值,取差值的绝对值,如果大于180,代表穿越了变更线。此时将当前点的下一个点的经度进行±180的处理。
横穿自动驾驶
豆皮卷香菜
06-30 481
我的疑惑更多了,从最开始的kalman filter 为什么从感知到控制都能用,到后面发现定位也都在用,也发现LQR MPC可以放在底层的控制阶段用,也可以放在规划用,现在很多决策博弈过程本质上也是优化问题求解过程。有幸看了李飞飞的深度学习课,AK大神讲的大部分内容,手写了一个网络,了解深度学习就是构造并求解一个优化问题,了解了BP,了解了随机梯度下降,带动量的梯度下降,等等一系列优化问题求解方法。看过一遍APOLLO,发现里面也都是优化问题求解,比如平滑路线是构造QP问题,局部轨迹规划也是构造QP问题
基于ThreeJS横穿马路碰撞检测效果
蒙双眼看世界
03-07 485
基于Three.js的碰撞检测穿马路动画DEMO演示。按上下左右键移动广场穿过马路。方块被汽车碰撞到就结束游戏。
基于ThreeJS的横穿马路碰撞检测效果
03-06
本主题将深入探讨如何利用Three.js实现一个横穿马路的碰撞检测效果,这对于虚拟现实、游戏开发或者交通模拟等应用具有重要意义。 首先,我们要理解Three.js的基本概念。Three.js是一个基于WebGL的3D库,它封装了...
CarMaker实现行人路过人行道和横穿马路,自动驾驶车辆避让实验
11-17
在双向四车道上,行人穿过车道,自动驾驶的车辆进行避让,实验教程:https://blog.youkuaiyun.com/qq_37400312/article/details/121386232
电缆横穿公路埋管施工组织方案.doc
10-10
【电缆横穿公路埋管施工组织方案】 电缆横穿公路埋管施工是一项复杂而重要的工程,涉及电力供应安全和城市交通秩序。以下是对该施工方案的详细解析: 一、工程概述 1. 工程简述 本工程位于省德阳市市区的香山巷,...
【Sql Server】sql server 2019设置远程访问,外网服务器需要设置好安全组入方向规则
2509_94200811的博客
12-01 753
本地电脑安装的sql server数据库可视化工具ssms连接到外网服务器的sql server数据库,实现本地化远程链接数据库进行管理和操作。
python实现SFTP服务器模拟器与客户端模拟器上传文件
LDC,公众号【轻松学编程】
11-24 208
python实现SFTP服务器模拟器与客户端模拟器上传文件
Nginx搭建与配置
MR.L'S BLOG
11-26 765
1 安装 1.1 安装前准备 1.1.1 安装JDK 略 1.1.2 安装yum 略 1.2 安装nginx依赖 1.2.1 使用root用户ssh登录服务器,以172.16.90.43为例 ssh root@172.16.90.43 1.2.2 执行脚本安装依赖 yum install -y pcre pcre-devel yum install -y zlib zlib-devel yum...
金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器4款相比较
courniche的博客
12-01 710
金融数据密码机、服务器密码机、签名验签服务器及时间戳服务器这几种常见的密码设备,从。接下来,我们深入到技术细节,从初始化、密码运算到设备自检等多个维度进行对比。两大方面,进行详细的对比。
如果超出防护峰值,会发生什么——服务器会挂掉吗?
最新发布
yunjkisuan666的博客
12-01 300
您的业务会在一段时间内彻底中断。当系统监测到攻击流量快要达到您的防护峰值时,您能临时升级至更高防护峰值,以此覆盖当下攻击,防止被突破。比如,你买了100G的防护,可攻击者发起了150G的攻击。高防系统只能清洗掉大约100G的流量剩余的50G恶意流量,会径直穿过高防系统,冲击您的源服务器。适当评估并预留足够的防护峰值,同时准备弹性升级方案,是保障业务连续性的重点。我们都清楚,高防服务器的防护机制,就像一座庞大的“水坝”。用户选高防服务器是冲着万无一失去的,可要是实际攻击流量超过了承诺的防护峰值,那会怎样?
VSFTPD 服务器
2301_82329076的博客
11-30 853
VSFTPD是一款安全高效的Linux FTP服务器软件。文章介绍了VSFTPD的基本配置流程,包括安装步骤(yum安装、服务启动)、防火墙设置(开放FTP端口)、配置文件位置(/etc/vsftpd/vsftpd.conf)以及两种访问模式配置:匿名用户访问(设置访问权限和目录)和本地用户访问(禁用匿名并启用本地认证)。配置完成后需重启VSFTPD服务生效,并通过FTP客户端进行验证。
Redis 服务器:深度解析与最佳实践
csbysj2020
11-30 355
Redis 是一种高性能、灵活的键值存储数据库,适用于多种场景。了解 Redis 的基本原理、安装配置、使用技巧以及最佳实践,有助于提高应用性能和稳定性。本文对 Redis 服务器进行了深度解析,希望对读者有所帮助。
有些边不要横穿过节点
09-05
这是一个非常常见的可视化问题: > ❌ **某些边横穿节点,影响可读性** 我们可以通过以下方式来优化边的绘制,避免边穿过节点: --- ## ✅ 改进目标 | 目标 | 实现方式 | |------|----------| | ✅ 避免边穿过节点 | 使用 `arc3` 曲线偏移参数 | | ✅ 可配置边弯曲程度 | 使用 `connectionstyle` 控制曲线 | | ✅ 保留颜色混合逻辑 | 边颜色仍使用组合颜色混合 | | ✅ 不影响图的结构和布局 | 仅视觉优化,不影响拓扑结构 | --- ## ✅ 修改后的完整代码(避免边穿过节点) ```python import os import matplotlib.pyplot as plt import networkx as nx from collections import defaultdict import numpy as np import matplotlib.cm as cm import matplotlib.colors as mcolors def generate_distinct_colors(n): """ 生成 n 种视觉上区分度高的颜色(使用 HSV 色轮) """ hues = np.linspace(0, 1, n, endpoint=False) hsv_colors = np.column_stack([hues, np.ones(n)*0.7, np.ones(n)*0.9]) rgb_colors = np.array([mcolors.hsv_to_rgb(c) for c in hsv_colors]) return [mcolors.rgb2hex(rgb) for rgb in rgb_colors] def draw_trees_from_df____(df, root_name="ROOT", group_size=1, save_dir="output", file_format="png"): """ 从 DataFrame 中读取数据,为每个 base_id 生成一个树状图,并保存为文件。 每条边颜色表示使用该边的所有 (compare_id1, compare_id2) 对应的颜色混合。 每个分组只显示该组使用的组合,且独立上色。 参数: - df: 包含数据的 DataFrame,必须包含 "base_id", "compare_id1", "compare_id2", "param" 列。 - root_name: 根节点名称。 - group_size: 每组处理的 base_id 数量(默认为 1)。 - save_dir: 图片保存的目录。 - file_format: 图片保存格式,如 png, svg, pdf 等。 """ os.makedirs(save_dir, exist_ok=True) base_ids = df["base_id"].unique().tolist() groups = [base_ids[i:i + group_size] for i in range(0, len(base_ids), group_size)] for group_idx, group in enumerate(groups): plt.figure(figsize=(12, 10)) ax = plt.subplot(111) combined_G = nx.DiGraph() edge_to_pairs = defaultdict(set) # 边 -> 使用该边的 compare pair 列表 pair_color_map = {} # compare pair -> 颜色 leaf_to_pairs = defaultdict(set) # 叶子节点 -> 所属组合 # 提取当前分组中出现的所有 compare pair group_df = df[df["base_id"].isin(group)] unique_pairs_in_group = group_df[['compare_id1', 'compare_id2']].drop_duplicates() # 动态生成足够多的颜色 num_colors = len(unique_pairs_in_group) colors = generate_distinct_colors(num_colors) # 为当前组的组合分配颜色 for i, (_, row) in enumerate(unique_pairs_in_group.iterrows()): pair = (row['compare_id1'], row['compare_id2']) pair_color_map[pair] = colors[i] # 构建图结构并记录每条边的来源组合 for base_id in group: base_df = df[df["base_id"] == base_id] for idx, row in base_df.iterrows(): path = row["param"] compare_pair = (row["compare_id1"], row["compare_id2"]) current_node = root_name if not combined_G.has_node(current_node): combined_G.add_node(current_node) for param in path: next_node = param if not combined_G.has_node(next_node): combined_G.add_node(next_node) combined_G.add_edge(current_node, next_node) edge_to_pairs[(current_node, next_node)].add(compare_pair) current_node = next_node # 记录叶子节点对应的组合 if combined_G.out_degree(current_node) == 0: leaf_to_pairs[current_node].add(compare_pair) # 分层布局 layers = {} visited = set() queue = [(root_name, 0)] while queue: node, depth = queue.pop(0) if node in visited: continue visited.add(node) layers[node] = depth for neighbor in combined_G.successors(node): if neighbor not in layers: layers[neighbor] = depth + 1 queue.append((neighbor, depth + 1)) for node in combined_G.nodes: combined_G.nodes[node]["layer"] = layers.get(node, 0) pos = nx.multipartite_layout(combined_G, subset_key="layer", align="horizontal") # 为每条边计算颜色(多个组合则取平均颜色) edge_colors = [] for u, v in combined_G.edges(): pairs = edge_to_pairs[(u, v)] if len(pairs) == 0: edge_colors.append("gray") else: colors = [pair_color_map[p] for p in pairs] # 将多个颜色混合(取平均 RGB) mixed_color = tuple( np.mean([tuple(int(c[i:i + 2], 16) / 255 for i in (1, 3, 5)) for c in colors], axis=0)) edge_colors.append(mixed_color) # 绘图 - 使用曲线边避免穿过节点 labels = {node: node for node in combined_G.nodes} nx.draw_networkx_nodes(combined_G, pos, ax=ax, node_size=400, node_color="lightgray") nx.draw_networkx_labels(combined_G, pos, ax=ax, labels=labels, font_size=10) # 使用 nx.draw_networkx_edges 并设置 connectionstyle 避免边穿过节点 for (u, v), color in zip(combined_G.edges(), edge_colors): nx.draw_networkx_edges( combined_G, pos, edgelist=[(u, v)], ax=ax, edge_color=[color], connectionstyle=f"arc3, rad=0.2", # 弯曲边 arrows=True, width=2, alpha=0.8 ) # 在叶子节点旁边标注组合信息 for leaf, pairs in leaf_to_pairs.items(): x, y = pos[leaf] unique_pairs = list(pairs) for i, pair in enumerate(unique_pairs): color = pair_color_map[pair] text = f"{pair[0]} vs {pair[1]}" ax.text(x, y + 0.05 + i * 0.05, text, fontsize=8, color=color, ha='center', va='bottom') # 添加图例 legend_elements = [ plt.Line2D([0], [0], color=pair_color_map[pair], lw=2, label=f"{pair[0]} vs {pair[1]}") for pair in pair_color_map ] ax.legend(handles=legend_elements, loc='upper right', bbox_to_anchor=(1.2, 1)) title = f"Group: {', '.join(group)}" ax.set_title(title) plt.tight_layout() filename = "_".join(group) save_path = os.path.join(save_dir, f"{filename}.{file_format}") plt.savefig(save_path, format=file_format, dpi=200, bbox_inches='tight') plt.close() print(f"Saved: {save_path}") ``` --- ## ✅ 修改说明 | 修改点 | 实现方式 | |--------|----------| | ✅ 避免边横穿节点 | 使用 `nx.draw_networkx_edges` 和 `connectionstyle="arc3, rad=0.2"` | | ✅ 曲线弧度可调 | `rad=0.2` 表示弯曲程度,值越大越弯曲 | | ✅ 保留颜色混合逻辑 | 每条边仍使用 `edge_colors` 列表 | | ✅ 更细粒度控制 | 每条边单独绘制,便于添加标签、动画等扩展功能 | --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值