Путевая уязвимость в Spring Hybris

Question

У нас есть проблемы с уязвимостями на основе путей в отчете Qualys. Я прошел через вопросы stackoverflow, такие как this и настроил useDefaultSuffixPattern как false, как показано ниже.

Я все еще могу загрузить страницу с /about.anything, хотя в контроллере, который я указал как @RequestMapping (value = "/ about") *

Нужна ли какая-либо другая конфигурация? обновить, чтобы не допустить этого?

    <bean
    class="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping">
    <property name="order" value="0" />
    <!-- Set whether to register paths using the default suffix pattern as 
        well: i.e. whether "/users" should be registered as "/users.*" and "/users/" 
        too. Default is "true". Turn this convention off if you intend to interpret 
        your @RequestMapping paths strictly. Note that paths which include a ".xxx" 
        suffix or end with "/" already will not be transformed using the default 
        suffix pattern in any case. -->
    <property name="useDefaultSuffixPattern" value="false" />
    <property name="pathMatcher" ref="pathMatcher" />
</bean>

Мы используем версию hybris 1811

Answer 1

Это может происходить из-за ошибки , присущей Spring , когда он игнорирует все после точки (.) В URL.
Чтобы решить эту проблему, вы должны создать шаблон переменной пути для вызова GET в вашем контроллере более жестким .