tomcat example 项目存在的漏洞

最新推荐文章于 2022-11-06 22:19:49 发布
最新推荐文章于 2022-11-06 22:19:49 发布
阅读量2.2k 收藏 1
点赞数 1
分类专栏: 运维 文章标签: tomcat 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen3888015/article/details/7687754
版权

IDC机房发了份检测报告过来,检测出example项目里面存在了一些漏洞,项目上线的时候,最好要去掉example

 漏洞分布详情

 

漏洞名称

数量

威胁等级

基于HTTP连接的登录请求

2

低危

敏感目录

2

低危

开启options方法

1

低危

Web应用程序错误

1

低危

E-Mail地址

6

信息

内网IP

3

信息

  1. 漏洞信息
    1.  紧急
    2.  高危
    3.  中危
    4.  低危

          开启options方法

URL

http://222.76.126.53:8080/examples/jsp/include/

弱点

method_unsafe:OPTIONS,GET,HEAD,POST

请求报文

OPTIONS /examples/jsp/include/ HTTP/1.1 Host: 222.76.126.53:8080 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv 11.0) like Gecko Cookie: JSESSIONID=C5045C1BB1A6AA1BF1138B335939CE37 Accept: */* Accept-Encoding: gzip,deflate Referer: http://222.76.126.53:8080/examples/jsp/include/include.jsp  

修复建议

点击查看修复建议

基于HTTP连接的登录请求

URL

http://222.76.126.53:8080/examples/jsp/security/protected/

弱点

http://222.76.126.53:8080/examples/jsp/security/protected/

请求报文

GET /examples/jsp/security/protected/ HTTP/1.1 Host: 222.76.126.53:8080 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv 11.0) like Gecko Accept: */* Accept-Encoding: gzip,deflate Cookie: JSESSIONID=E89D2D269D5DE05FEA70AC11045A4398; Referer: http://222.76.126.53:8080/examples/jsp/security/protected/index.jsp  

修复建议

点击查看修复建议

 

URL

http://222.76.126.53:8080/examples/jsp/security/protected/index.jsp

弱点

http://222.76.126.53:8080/examples/jsp/security/protected/index.jsp

请求报文

GET /examples/jsp/security/protected/index.jsp HTTP/1.1 Host: 222.76.126.53:8080 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv 11.0) like Gecko Accept: */* Accept-Encoding: gzip,deflate Cookie: JSESSIONID=C5045C1BB1A6AA1BF1138B335939CE37; Referer: http://222.76.126.53:8080/examples/jsp/  

修复建议

点击查看修复建议

        Web应用程序错误

URL

http://222.76.126.53:8080/examples/jsp/error/err.jsp?name=integra&submit=Submit

弱点

HTTP CODE : 500

请求报文

GET /examples/jsp/error/err.jsp?name=integra%df%22&submit=Submit HTTP/1.1 Host: 222.76.126.53:8080 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv 11.0) like Gecko Cookie: JSESSIONID=C5045C1BB1A6AA1BF1138B335939CE37 Accept: */* Accept-Encoding: gzip,deflate Referer: http://222.76.126.53:8080/examples/jsp/error/error.html  

修复建议

点击查看修复建议

 

          敏感目录

URL

 

弱点

examples/

请求报文

GET /examples/ HTTP/1.1 Host: 222.76.126.53:8080 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv 11.0) like Gecko Accept: */* Accept-Encoding: gzip,deflate  

修复建议

点击查看修复建议

 

URL

http://222.76.126.53:8080/docs/

弱点

config/

请求报文

GET /docs/config/ HTTP/1.1 Host: 222.76.126.53:8080 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv 11.0) like Gecko Accept: */* Accept-Encoding: gzip,deflate Referer: http://222.76.126.53:8080/  

修复建议

点击查看修复建议

 

  1. 修复建议
    1.  紧急漏洞修复建议
    2.  高危漏洞修复建议
    3.  中危漏洞修复建议
    4.  低危漏洞修复建议

漏洞名称

Web应用程序错误

漏洞描述

弱点描述:Web应用程序在处理访问者的请求时,如果符合Web应用程序的逻辑或者Web应用程序本身没有异常,那么将结果直接反馈给访问者。如果提交不符合Web应用程序逻辑的数据,Web应用程序在处理这些请求的时候未做相应的处理,直接把Web服务器的错误反馈给访问者。

修复建议

一般性的建议:过滤客户端提交的危险字符,客户端提交方式包含GET、POST、COOKIE、User-Agent、Referer、Accept-Language等,其中危险字符如下:[1] |[2] &[3] ;[4] $[5] %[6] @[7] "[8] "[9] [10] ()[11] +[12] CR[13] LF[14] ,[15] .开发语言的建议:[1] 检查入局请求,以了解所有预期的参数和值是否存在。 当参数缺失时,发出适当的错误消息,或使用缺省值。[2] 应用程序应验证其输入是否由有效字符组成(解码后)。 例如,应拒绝包含空字节(编码为 )、单引号、引号等的输入值。[3] 确保值符合预期范围和类型。 如果应用程序预期特定参数具有特定集合中的值,那么该应用程序应确保其接收的值确实属于该集合。 例如,如果应用程序预期值在 10..99 范围内,那么就该确保该值确实是数字,且在 10..99 范围内。[4] 验证数据属于提供给客户端的集合。[5] 请勿在生产环境中输出调试错误消息和异常。

CVSS 3.0

--

CVE编号

--

CNNVD编号

--

漏洞信息

点击回到漏洞信息

 

漏洞名称

开启options方法

漏洞描述

弱点描述:Web服务器配置为允许使用危险的HTTP方法,如PUT、MOVE、COPY、DELETE、PROPFIND、SEARCH、MKCOL、LOCK、UNLOCK、PROPPATCH,该配置可能允许未授权的用户对Web服务器进行敏感操作。

修复建议

一般性的建议:[1]如果服务器不需要支持WebDAV请禁用WebDAV,或禁用掉不安全的HTTP方法,IIS在IIS服务中的"Web服务扩展"中关闭WebDav。

CVSS 3.0

5.3

CVE编号

--

CNNVD编号

--

漏洞信息

点击回到漏洞信息

漏洞名称

基于HTTP连接的登录请求

漏洞描述

弱点描述:在应用程序测试过程中,检测到基于不安全的http连接的登录请求。由于采用未加密的http请求发送敏感的登录请求,有可能被同一个局域网内的攻击者嗅探到用户输入的登录数据,如账号和密码。

修复建议

一般性的建议:[1]采用https协议。

CVSS 3.0

--

CVE编号

--

CNNVD编号

--

漏洞信息

点击回到漏洞信息

​​​​​​​

  • 敏感目录

漏洞名称

敏感目录

漏洞描述

弱点描述:Web应用程序显露了某些目录名称,此信息可以帮助攻击者对站点进一步的攻击。例如,知道目录之后,攻击者便可能获得目录下边的文件名,也许还能猜出其它的文件名或目录名,并尝试访问它们。这些可能包含敏感信息。攻击者通过搜集信息,以便进一步攻击目标站点。

修复建议

一般性的建议:[1]使用非常规的目录名称。[2]特定的目录设置合理的权限。

CVSS 3.0

--

CVE编号

--

CNNVD编号

--

漏洞信息

点击回到漏洞信息

 

福海鑫森
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Tomcat example 应用信息泄漏漏洞及修复
千寻的博客
10-24 4430
文章目录Tomcat 介绍漏洞描述受影响范围漏洞复现修复方案免责声明 Tomcat 介绍 Tomcat 是一款开源的Web 应用服务器软件。 Tomcat 属于轻量级应用服务器,在中小型系统和并发访问用户不多的场合下被普遍使用,是开发和调试 JSP 程序的首选。 漏洞描述 Tomcat 在使用时一般直接下载源代码包,解压后直接使用。 默认情况下,Tomcat 源码包 Web 根目录下包含servlets-examples 和 tomcat-docs目录,这些目录下的某些样例存在安全风险。 例如,ses
Examples.rar_PSCAD_PSCAD book_examples文件夹_pscad实例_subsyncres
07-14
这个压缩文件夹里有PSCAD 典型实例,新用户可以通过这些例子在短时间内掌握PSCAD的使用。
tensorflow中examples文件下载
03-29
No module named ‘tensorflow.examples.tutorials解决方法,没有examples的解决资源
Tomcat-8.5.28 无漏洞
03-05
Apache_Tomcat存在安全限制绕过的漏洞预警 更新版本下载(漏洞修复后版本)
Examples of business logic vulnerabilities——bp业务逻辑漏洞示例
人若有志,就不会在半坡停止。
11-06 1480
然而,无论你是bug赏金猎人、pentesting,甚至只是一个试图编写更安全代码的开发人员,你都可能在某个时候遇到来自不太熟悉的领域的应用程序。在这种情况下,您应该阅读尽可能多的文档,并在可能的情况下与该领域的主题专家交谈,以获得他们的见解。在正确的环境下,这种缺陷会对与业务相关的功能和网站本身的安全产生毁灭性的后果。要识别这些漏洞,您需要仔细考虑攻击者可能具有的目标,并尝试使用提供的功能找到实现这一目标的不同方法。在本节中,我们将提供一些应该避免的常见假设的警示示例,并演示它们如何导致危险的逻辑缺陷。
tomcat包自带examples漏洞
m0_67392409的博客
04-10 2965
Tomcat是一款轻量级应用服务,且使用方便,解压后即可使用。在解压后的文件目录里有tomcat自带的webapp/docs和webapp/example文件夹,docs是tomcat的说明文档,exampletomcat自带的示例,可以通过http://xxxxx/docs和http://xxxxx/examples进行访问,本意是用来说明和演示tomcat的功能的。 但是最近发现有的版本的tomcat部署完成以后,这两个链接仍然可用,不太清楚是版本的原因还是部署的原因。docs是文档,所以基本不存在
技术分享 | [POC编写]Apache Tomcat样例目录session操纵漏洞
m0_46699477的博客
01-18 1743
前言: Apache Tomcat默认安装包含examples目录,里面存着众多的样例,其中session样例(目标/examples/servlets/servlet/SessionExample)允许用户对session进行操纵,因为session是全局通用的,所以用户可以通过操纵session获取管理员权限。 0x001 准备 1.1 编写准备 Goby 漏洞相关资料 1.2 编写区域 漏洞-PoC管理-自定义PoC 自定义PoC截图 1.3 注意事项 名称不可填写中文,否则生成会出错,但后.
[渗透]Apache Tomcat示例目录漏洞
热门推荐
胖胖的ALEX
02-21 3万+
漏洞等级:中 Apache Tomcat默认安装包含"/examples"目录,该目录包含许多示例servlet和JSP。其中一些示例存在安全风险,不应部署在生产服务器上。 http://localhost:8080/examples/servlets/servlet/SessionExample 示例允许会话操作。因为会话是全局的,所以这个示例会带来很大的安全风险,因为攻击者可用通过操纵其会话来...
关于Apache Tomcat存在文件包含漏洞的整改方法
01-09
安全公告编号:CNTA-2020...Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web
tomcat启动项目部署步骤
07-20
tomcat启动项目部署步骤 。
linux下部署tomcat项目
11-08
linux下部署tomcat项目基础步骤都有在里面,linux下部署tomcat项目基础步骤都有在里面
Tomcat部署项目资源文档
11-25
资源文档包含了MySQL、JDK、Redis、Tomcat、notepad++的安装文件,部署指导文档从所有的软件的安装开始,一步一步的指导进行安装,缓存使用的Redis,项目不使用Redis进行缓存的可以不安装。
Tomcat 样例目录session操控漏洞
小小猪的博客
11-19 8002
Tomcat 样例目录session操控漏洞 漏洞描述: ApacheTomcat默认安装页面中存在examples样例目录。里面存放着Servlets、JSP、WebSocket的一些服务脚本和接口等样例。其中Servletsexamples服务样例下存在一个session的样例。该样例可以允许用户对session来进行操控。因为session是全局通用的,所以也就可以利用该样例下的session来操控管理员的session来进行会话传输操控管理员的账户进行恶意操作。 漏洞分析: 我们直接看核心代
tomcat web漏洞整改--Apache Tomcat examples directory vulnerabilities
weixin_30501857的博客
01-23 1105
在利用AWVS等弱扫工具对网站进行漏洞扫描时,经常会出现一些Tomcat漏洞问题,一般在弱扫报告中,都会给出简单的处理办法,但有时这些办法可能不太适合我们,或者在一些正式使用的环境中,不好操作,那么我们就需要有一些方便且可行的操作进行漏洞整改 出现漏洞:Apache Tomcat examples directory vulnerabilities AWVS的建议方案是:禁止访问公...
挖洞经验 | 通过Tomcat Servlet示例页面发现的Cookie信息泄露漏洞
技术超强的网络安全平台
08-17 1185
首先,来认识一下Tomcat的示例文件,它是Tomcat安装后默认显示的一些页面,其中包含了很多servlets 和 JSP的测试示例,尤其是其中的会话示例接口/examples/servlets/servlet/SessionExample和/examples/servlets/servlet/CookieExample,由于会话变量的全局性,导致攻击者可以管理员身份通过该接口对会话进行操控,存在安全风险。在与朋友就该页面进行交流之后,他的经验也让我打消了疑虑,这个点的利用也仅如此,我们继续。...
tomcat性能优化-webapps文件夹内容删除
weixin_34302798的博客
02-17 1397
2019独角兽企业重金招聘Python工程师标准>>> ...
tomcat example
最新发布
06-02
Tomcat是一个开源的Web服务器,可以用来运行Java Web应用程序。以下是一个简单的Tomcat示例: 1. 下载Tomcat并解压缩它到本地目录。 2. 在Tomcat目录下创建一个名为"webapps"的文件夹。 3. 在webapps文件夹下创建一个名为"example"的文件夹。 4. 在example文件夹下创建一个名为"WEB-INF"的文件夹。 5. 在WEB-INF文件夹下创建一个名为"web.xml"的文件。 6. 将以下内容添加到web.xml文件中: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd"> <web-app> <display-name>Example</display-name> <welcome-file-list> <welcome-file>index.html</welcome-file> </welcome-file-list> </web-app> ``` 7. 在example文件夹下创建一个名为"index.html"的文件。 8. 将以下内容添加到index.html文件中: ``` <!DOCTYPE html> <html> <head> <title>Example</title> </head> <body> <h1>Hello, World!</h1> </body> </html> ``` 9. 启动Tomcat服务器。 10. 在浏览器中输入"http://localhost:8080/example",应该可以看到"Hello, World!"的字符串。 注意:以上示例仅用于演示如何在Tomcat上部署简单Web应用程序,实际应用程序可能需要更复杂的配置和设置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

福海鑫森

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值