jrasp-agent [bug] request.getRequestURL() 存在绕过的问题

[bug] request.getRequestURL() 存在绕过的问题

Open yupd opened this issue 2 years ago • 4 comments

trafficstars

例如：对 url /demo/test.do 设置黑名单，可以通过 /demo/;xx/test.do 绕过。

Oct 25 '23 04:10 yupd

当前计划增加url特殊字符串检测功能，禁止在url中出现;等字符

Oct 30 '23 06:10 jvm-rasp

当前计划增加url特殊字符串检测功能，禁止在url中出现;等字符

使用 request.getServletPath() 是最终的请求的地址，用这个方法取代 request.getRequestURL() 是不是好点？

Oct 30 '23 07:10 yupd

好的，我看下。为了兼容性，增加一个真实url字段。检测url中特殊字符串功能已经增加

Oct 31 '23 12:10 jvm-rasp

https://github.com/jvm-rasp/jrasp-agent/commit/243e5a753a269d0722b6ebb0d291a2c7323db7bf

Oct 31 '23 12:10 jvm-rasp