Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Spring小話  @eiryu
自己紹介● TwitterID:@eiryu●   エンジニア6年目●   Spring歴9ヶ月くらい●   Java●   PostgreSQL● もうすぐ引っ越します
Webアプリケーション脆弱性テストにて● GET http://host/app/error.bak 200 OK● GET http://host/app/error.old 200 OK● GET http://host/app/error...
実際のコントローラ@RequestMapping("/error")public class ErrorController {      @RequestMapping("")      public String error() {    ...
挙動● error● error/● error.do● error.php● error.nande.yanen(下3つは一例)デフォルトでは、 error/ や error.* が処理対象として登録されている
対策1 コントローラ修正@RequestMapping("/error")public class ErrorController {      @RequestMapping("/")      public String error() {...
対策2 useDefaultSuffixPatternを無効に<bean class="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping...
元ネタhttp://d.hatena.ne.jp/eiryu9/20130120/1358651987
ご清聴ありがとうございました
Upcoming SlideShare
Loading in …5
×

Spring小話

1,536 views

Published on

2013/1/24 日本Springユーザ会勉強会 LT資料

  • Be the first to comment

  • Be the first to like this

Spring小話

  1. 1. Spring小話 @eiryu
  2. 2. 自己紹介● TwitterID:@eiryu● エンジニア6年目● Spring歴9ヶ月くらい● Java● PostgreSQL● もうすぐ引っ越します
  3. 3. Webアプリケーション脆弱性テストにて● GET http://host/app/error.bak 200 OK● GET http://host/app/error.old 200 OK● GET http://host/app/error.OLD 200 OK
  4. 4. 実際のコントローラ@RequestMapping("/error")public class ErrorController { @RequestMapping("") public String error() { ... }...}
  5. 5. 挙動● error● error/● error.do● error.php● error.nande.yanen(下3つは一例)デフォルトでは、 error/ や error.* が処理対象として登録されている
  6. 6. 対策1 コントローラ修正@RequestMapping("/error")public class ErrorController { @RequestMapping("/") public String error() { ... }...}
  7. 7. 対策2 useDefaultSuffixPatternを無効に<bean class="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping"> <property name="useDefaultSuffixPattern" value="false"/></bean>
  8. 8. 元ネタhttp://d.hatena.ne.jp/eiryu9/20130120/1358651987
  9. 9. ご清聴ありがとうございました

×