tomcat CVE-2016-6816

HTTP 요청 줄을 구문 분석 한 코드가 잘못된 문자를 허용한다는 사실이 발견되었습니다.

이는 유효하지 않은 문자가 허용되었지만 해석이 다른 프록시와 함께 HTTP 응답에 데이터를 주입하기 위해 악용 될 수 있습니다.

HTTP 응답을 조작함으로써 공격자는 웹 캐시에 독을 넣거나 XSS 공격을 수행하거나 자신이 아닌 다른 요청으로부터 중요한 정보를 얻을 수 있습니다.

MITER CVE 사전 및 NIST NVD 에서 CVE-2016-6816에 대해 자세히 알아보십시오 .

결론은 저런 문제 때문에 막아 놓음 특수문자들을

이것은 catalina.properties 최 하단에 보면 아래의 옵션이 있음 허용하고 싶은 특수문자를 적어서 넣어서 해결하면 됨

tomcat.util.http.parser.HttpParser.requestTargetAllow=| 

참조

---

• CVE(Common Vulnerabilities and Exposures) 정리

• cve-2016-6816