tomcat目录遍历漏洞的防范

最新推荐文章于 2024-04-23 13:01:43 发布
最新推荐文章于 2024-04-23 13:01:43 发布
阅读量2.5k 收藏
点赞数
文章标签: java web.xml
原文链接:http://www.cnblogs.com/fly0236/p/3447197.html
版权
如果apache/apache tomcat配置文件没有处理好,会给站点带来相当大的隐患,目录遍历漏洞,会将站点的所有目录暴露在访问者眼前,有经验的开发者或hacker们可以从 这些目录得知当前站点的信息,如开发语言、服务器系统、站点结构,甚至一些敏感的信息。
apache如何防范目录遍历漏洞?
1找到“ Options Indexes FollowSymLinks ” 将Indexes去掉,更改为“ Options  FollowSymLinks ”即可。
apache tomcat如何防范目录遍历漏洞?
1.编辑apache的httpd.conf找到“ Options Indexes MultiViews” 中的Indexs去掉,更改为” Options  MultiViews“即可。
2. 编辑tomcat的conf/web.xml找到
<servlet>
 
<servlet-name>default</servlet-name>
 
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
 
<init-param>
 
<param-name>debug</param-name>
 
<param-value>0</param-value>
 
</init-param>
 
<init-param>
 
<param-name>listings</param-name>
 
<param-value>true</param-value>
 
</init-param>
 
<load-on-startup>1</load-on-startup>
 
</servlet>
将“<param-value>true</param-value>”此行的true改为false即可。
编辑好后,重启相应的服务生效。

转载于:https://www.cnblogs.com/fly0236/p/3447197.html

dengxi1994
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat-8.5.28 无漏洞
03-05
Apache_Tomcat存在安全限制绕过的漏洞预警 更新版本下载(漏洞修复后版本)
目录遍历漏洞
qq_2411772106的博客
07-18 799
0x001 漏洞简介 目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。 0x002 漏洞原理 目录遍历漏洞原理比较简单,就是程序在实现上没有充分过滤用户输入的…/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。这里的目录跳转符可以是…/,也可是…/的ASCII编码或者是unicode编码等。
tomcat目录结构详解
03-29
tomcat目录结构详解
Tomcat目录详解
02-05
Tomcat目录详解Tomcat目录详解Tomcat目录详解Tomcat目录详解Tomcat目录详解
apache/apache tomcat目录遍历漏洞防范的apache 配置
wing 的专栏
02-08 1万+
如果apache 配置/apache tomcat 配置文件没有处理好,会给站点带来相当大的隐患,目录遍历漏洞,会将站点的所有目录暴露在访问者眼前,有经验的开发者或hacker们可以从这些目录得知当前站点的信息,如开发语言、服务器系统、站点结构,甚至一些敏感的信息。 apache如何防范目录遍历漏洞? 此apache教程如下 编辑httpd.conf 找到“
目录遍历漏洞及其解决方案-apache,tomcat
热门推荐
安全解决方案
01-23 3万+
一. 什么是目录遍历漏洞 目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。 二. 目录遍历漏洞原理 程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上...
2021-06-21
u012382509的博客
06-21 642
web中间件常见漏洞一、IIS1.PUT漏洞介绍及成因:PUT漏洞修复2.短文件名猜解漏洞介绍及成因漏洞修复3、远程代码执行漏洞介绍及成因:漏洞修复4、解析漏洞介绍及成因:IIS6.0漏洞复现:利用方式1:IIS6.0漏洞复现:利用方式2IIS7.5 文件解析漏洞:漏洞修复:二、 Apache1、解析漏洞介绍及成因:介绍成因情况1:情况2:Apache文件解析漏洞的防御2.目录遍历漏洞介绍及成因Apache目录遍历漏洞修复Tomcat目录遍历漏洞修复三、nginx1.nginx解析漏洞介绍成因漏洞修复2.n
【Web漏洞探索】目录遍历漏洞
mr__sheng的博客
09-08 337
由chroot创造出的那个根目录,叫做“chroot监狱”(指通过chroot机制来更改某个进程所能看到的根目录,即将某进程限制在指定目录中),保证该进程只能对该目录及其子目录文件有所动作,从而保证整个服务器的安全。对用户传过来的文件名参数进行统一编码,将所有字符转换成url编码,这样服务器不会解析成../,对包含恶意字符或者空字符的参数进行拒绝。参数file的数据采用Base64加密,而攻击中只需要将数据进行相应的解密即可入侵,采用一些常见、规律性的加密方式也是不安全的。
目录遍历漏洞原理、解决方案
qq_37432174的博客
11-22 8498
目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。对用户传过来的文件名参数进行统一编码,对包含恶意字符或者空字符的参数进行拒绝。对用户的输入进行验证,特别是路径替代字符如“…尽可能采用白名单的形式,验证所有的输入。
apache目录遍历漏洞利用_Apache Tomcat UTF8目录遍历漏洞测试代码
weixin_39618824的博客
12-24 585
/*Apache Tomcat < 6.0.18 UTF8 Directory Traversal Vulnerability get /etc/passwd Exploitc0d3r: mywisdomthanks for not being lame to change exploit authortis is one of my linux w0rm module for user e...
Tomcat目录结构详解
09-29
Tomcat 服务器是一个免费的开放源代码的 Web 应用服务器,学习tomcat目录结构十分有必要,今天小编给大家带来了详细教程,感兴趣的朋友一起看看吧
Tomcat目录结构详细介绍
09-30
今天和大家一起聊聊关于Tomcat目录结构以及各个目录,相关文章的具体作用
记一次web系统漏洞整改过程(nginx+Tomcat
你好戴先生的博客
06-30 707
1. 漏洞问题 系统部署采用的是tomcat容器,使用nginx做的转发和处理 这次漏洞整改主要包括两个问题,其他都是升级jar包版本或进行一些系统设置就能完成 限制IP访问,配置只有特定的域名才能访问 设置Https 协议请求 2. 解决办法 2.1 Nginx+Tomcat配置的方式 目的就是禁止ip方式访问应用系统 只能使用特定的域名访问特定的端口应用 找到tomcat的conf/server.xml中的标签 默认是在148行内容如下 <Host name="local
Apache Tomcat 漏洞复现
来日可期的博客
09-08 3350
Tomcat7 弱密码和后端 Getshell 漏洞,Aapache Tomcat AJP任意文件读取/包含漏洞,通过 PUT 方法的 Tomcat 任意写入文件漏洞
修复Tomcat样例目录session操纵漏洞
CSoap的博客
08-31 6362
漏洞说明 攻击人员通过目录便利攻击可以获取系统文件及服务器的配置文件等等。一般来说,他们利用服务器API、文件标准权限进行攻击。严格来说,目录遍历攻击并不是一种web漏洞,而是网站设计人员的设计“漏洞”。如果web设计者设计的web内容没有恰当的访问控制,允许http遍历,攻击者就可以访问受限的目录,并可以在web根目录以外执行命令。   漏洞详情 Detail:http://某某域名...
Tomcat目录权限设置
xiaoyu714543065的专栏
03-21 1万+
在web应用中,对页面的访问控制通常通过程序来控制,流程为:登录 -> 设置session -> 访问受限页面时检查session是否存在,如果不存在,禁止访问 对于较小型的web应用,可以通过tomcat内置的访问控制机制来实现权限控制。采用这种机制的好处是,程序中无需进行权限控制,完全通过对tomcat的配置即可完成访问控制。 为了在tomcat页面设置访问权限控制,在项目的WEB-INF
Tomcat中禁止浏览目录
Damonwoo
11-29 1501
被定义在$Tomcat_Home/conf/web.xml listings true 说明:listings: true或者false用来控制是否允许目录浏览。
string模拟实现
最新发布
m0_73969414的博客
04-23 938
c++中string的模拟实现,面试必会知识点
详细介绍一下tomcat目录遍历漏洞(CVE-2020-1938)
04-29
Tomcat 目录遍历漏洞(CVE-2020-1938)是一种文件包含漏洞,影响 Apache Tomcat 服务器的 AJP 协议。 AJP 协议(Apache JServ Protocol)是 Apache HTTP Server 与 Tomcat 之间通信的一种协议,可以通过 mod_jk、mod_proxy_ajp 或 mod_cluster 等模块使用。攻击者可以通过发送恶意请求,利用该漏洞读取远程服务器上的任意文件,包括敏感配置文件、源代码等。 漏洞的原理是,攻击者在请求中添加特殊的 AJP 协议数据包,伪装成合法的请求,欺骗 Tomcat 服务器将任意文件作为响应返回。 该漏洞影响 Apache Tomcat 9.0.0.M1 到 9.0.31、8.5.0 到 8.5.51、7.0.0 到 7.0.100 版本,已经被评为“高危”漏洞。 为了修复该漏洞,可以升级到 Tomcat 9.0.32、8.5.52 或 7.0.100 以上版本。如果不能立即升级,也可以在 AJP 协议前面添加一个安全网关(如 Web 服务器或反向代理服务器),或者关闭 AJP 协议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值