Spring小話
- 2. 自己紹介 ● TwitterID:@eiryu ● エンジニア6年目 ● Spring歴9ヶ月くらい ● Java ● PostgreSQL ● もうすぐ引っ越します
- 3. Webアプリケーション脆弱性テストにて ● GET http://host/app/error.bak 200 OK ● GET http://host/app/error.old 200 OK ● GET http://host/app/error.OLD 200 OK
- 4. 実際のコントローラ @RequestMapping("/error") public class ErrorController { @RequestMapping("") public String error() { ... } ... }
- 5. 挙動 ● error ● error/ ● error.do ● error.php ● error.nande.yanen (下3つは一例) デフォルトでは、 error/ や error.* が処理対象とし て登録されている
- 6. 対策1 コントローラ修正 @RequestMapping("/error") public class ErrorController { @RequestMapping("/") public String error() { ... } ... }
- 7. 対策2 useDefaultSuffixPatternを無効に <bean class="org.springframework.web.servlet.mvc.annotation. DefaultAnnotationHandlerMapping"> <property name="useDefaultSuffixPattern" value="false"/> </bean>