JBOSS 6.4.20 проверяет специальные символы, такие как фигурные скобки, и выдает 400 ошибочных запросов

Question

Я уже обработал сценарий подделки URL, где у меня есть фильтр с регулярным выражением, который сравнивает строки запроса и, если в нем есть какие-либо esacpe или специальные символы, он возвращает настроенное сообщение «Неверные параметры», которое отображается наscreen.

Теперь это работало нормально, пока мы не использовали JBOSS 6.4.10, но после обновления до JBOSS 6.4.20 он даже не попадает в фильтр, где-то JBOSS 6.4.20 проверяет URI запроса, имеющийв моем случае экранирующие символы / фигурные скобки выдают ошибку 400 неверных запросов.

Пожалуйста, избегайте таких решений, как обновление до JBOSS 7 и т. Д. Мне известно, что у JBOSS 7 есть флаг "ALLOW_UNESCAPED_CHARACTERS_IN_URL", который решил эту проблему, но я не могу использовать JBOSS 7.

Answer 1

Добавьте следующее в аргумент Standalone.conf file

JAVA_OPTS="$JAVA_OPTS -Dtomcat.util.http.parser.HttpParser.requestTargetAllow='{|}'"

Answer 2

Насколько я знаю, это поведение связано со следующей уязвимостью безопасности: CVE-2016-6816 .Попробуйте свойство tomcat.util.http.parser.HttpParser.requestTargetAllow sytem.Любые символы, указанные в значении этого свойства, будут снова разрешены.Другой альтернативой является переход на JBoss EAP 6.4.12 или более раннюю версию.