Tomcat 又爆安全漏洞,情何以堪

最新推荐文章于 2024-08-06 22:48:48 发布
最新推荐文章于 2024-08-06 22:48:48 发布
阅读量799 收藏
点赞数
分类专栏: IT资讯 文章标签: tomcat authentication server basic apache
 CVE-2011-1184 Apache Tomcat - Multiple weaknesses in HTTP DIGEST authentication

  严重性: 中等

所影响的版本:
- - Tomcat 7.0.0 to 7.0.11
- - Tomcat 6.0.0 to 6.0.32
- - Tomcat 5.5.0 to 5.5.33
- - Earlier, unsupported versions may also be affected

漏洞描述:
The implementation of HTTP DIGEST authentication was discovered to
have several weaknesses:
- - replay attacks were permitted
- - server nonces were not checked
- - client nonce counts were not checked
- - qop values were not checked
- - realm values were not checked
- - the server secret was hard-coded to a known string
The result of these weaknesses is that DIGEST authentication was only
as secure as BASIC authentication.

解决方法:
Users of Tomcat 7.0.x should upgrade to 7.0.12 or later
Users of Tomcat 6.0.x should upgrade to 6.0.33 or later
Users of Tomcat 5.5.x should upgrade to 5.5.34 or later

小博
关注
专栏目录
【微服务】微服务中常用认证加密方案总结
congge
03-03 4120
常用的登录认证加密算法总结
tomcat常见漏洞
qq_46416934的博客
06-18 3394
目录前言一、任意文件上传1.1 影响版本1.2 初始配置1.3 漏洞详二、CVE-2020-1938?文件包含漏洞2.1 影响版本2.2 漏洞详三、未授权弱口令+war后门上传总结tomcatapache一样是一个免费的服务器,主要用于jsp框架的网站,可以看作是apache的一个扩展,但是运行的时候和apache属于不同的进程。本文主要介绍tomcat的未授权访问、任意文件上传、文件包含漏洞。tomcat 7.0.x --------------cve-2017-12615需要在windows下将配
Tomcat 据说被漏洞!
moto72的专栏
09-19 216
看到这个文章我没有实测过,但是看起来似乎是真的 :88: CVE-2011-2204 Apache Tomcat信息泄漏 安全级别: 低 幸亏不是很“脸肿”哈 影响的版本: Tomcat 7.0.0 to 7.0.16 Tomcat 6.0.0 to 6.0.32 Tomcat 5.5.0 to 5.5.33 漏洞描述: 当使用 MemoryUserDatab...
常见中间件漏洞(一、Tomcat合集)
最新发布
2301_76631050的博客
08-06 748
tomcat是一个开源而且免费的jsp服务器,默认端口:8080,属于轻量级应用服务器。它可以实现JavaWeb程序的装载,是配置JSP(Java Server Page)和JAVA系统必备的一款环境。在历史上也披露出来了很多的漏洞,这里我们讲几个经典的漏洞复现。
tomcat系列漏洞
qq_56150805的博客
05-06 2241
Tomcat 配置了两个Connecto,它们分别是 HTTP 和 AJP :HTTP默认端口为8080,处理http请求,而AJP默认端口8009,用于处理 AJP 协议的请求,而AJP比http更加优化,多用于反向、集群等,漏洞由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场合下被普遍使用,是开发和调试Servlet、JSP 程序的首选。
Tomcat 漏洞总结
m0_67391518的博客
08-25 512
CVE-2020-1938为Tomcat AJP文件包含漏洞,由于Tomcat AJP协议本身的缺陷,攻击者可以通过Tomcat AJP connector可以包含Webapps目录下的所有文件。由于配置不当,conf/web.xml中的readonly设置为flase,可导致用PUT方法上传任意文件,但限制了jsp后缀的上传。CVE-2017-12615由于配置不当,可导致任意文件上传,影响版本:Tomcat7.0.0-7.0.81。进入后台,有上传war包的地方,上传我们前面制作的test.war。
ueidtor安全漏洞_UEditor SSRF漏洞(JSP版本)分析与复现
weixin_33318722的博客
12-31 4953
作者: 浮萍@猎户安全实验室公众号:[猎户安全实验室](https://mp.weixin.qq.com/s/OPbyYQNWiN2dy_BHhqd9eg "猎户安全实验室")前些时间测试的时候遇到了一个系统采用了UEditor编辑器,版本为1.4.3。已知该编辑器v1.4.3版本存在SSRF漏洞,虽然是Bool型的SSRF,除了可以进行内网探测外,也可以根据web应用指纹信息,之后进行进一步的测...
Spring官宣网传大漏洞,并提供解决方案
2301_76323084的博客
04-18 895
大型分布式系统犹如一个生命,系统中各个服务犹如骨骼,其中的数据犹如血液,而Kafka犹如经络,串联整个系统。这份Kafka源码笔记通过大量的设计图展示、代码分析、示例分享,把Kafka的实现脉络展示在读者面前,帮助读者更好地研读Kafka代码。麻烦帮忙转发一下这篇文章+关注我《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!转发一下这篇文章+关注我**[外链图片转存中…(img-Wf40kVB3-1713425493055)]
CVE-2022-22965分析复现
include_voidmain的博客
04-12 3595
0x01 前置知识 Introspector类 javabean通常是用来做数据封装的java类,为了方便数据的读取与写入,会有getter/setter方法来对数据进行操作,在jdk中有一个Introspector类,通过该类的方法可以获取javabean的相关信息,包括javabean中的属性值,以及属性值对应的getter/setter方法。 对于属性的获取,其实是通过对应的getter/setter方法来确定的,如果存在对应的getter/setter方法或其中的一个,都会认为存在对应的属性,下面通
浏览器安全详解
悦分享
07-03 113
作为用户与网络交互的最主要的一种平台,浏览器也日渐成为了网络攻击的目标,猖獗的地下0day交易,以及简单、流程化的木马生成与发布程序都让浏览器安全问题影响变得广泛。以浏览器最出名的漏洞之一MS06-014为例。这个漏洞曾被广泛利用于网马中,它的利用代码简单,执行时几乎毫无声息。2006年,某安全软件就拦截到总计300余万次来自它的攻击。更糟的是,当年许多用户没有安装补丁,所以MS06-014利用起来成功率相当高。在随后足足5年时间内,几乎所有的挂马工具包中都给MS06-014留有位置。
tomcat漏洞总结.rar
04-21
本文件包含Tomcat近几年发的4个严重漏洞,包含从tomcat弱口令上传,到tomcatPUT上传小马,本地权限提升一级反序列化漏洞,其中弱口令包含2本字典以及详细用法,PUT上传包含POC,反序列化和权限提升包含代码及详细操作,仅供学习使用,请不要用于非法以及商业活动
tomcat 漏洞集合
qq_53229503的博客
09-02 7534
tomcat 漏洞集合
Tomcat漏洞详解
m0_64481831的博客
03-06 2873
Tomcat是一种轻量级的web服务器,主要负责运行jsp和Servlet具有任意文件写入漏洞:主要影响7.0-7.8左右,原因是因为配置不当问题(conf/web.xml文件的readonly参数定义为false),导致可以使用PUT方法进行任意文件上传。jsp绕过方法有斜杠绕过、空格绕过和::$DATA绕过(后两者都需要在Windows下)具有文件包含漏洞:主要影响6和8版本,7和9版本有少数;原因是因为AJP协议存在缺陷而导致攻击者可以构造任意参数来进行任意文件包含和读取文件。
Tomcat一些漏洞的汇总
热门推荐
m0_48108919的博客
03-28 2万+
前言:Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用 服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 一、Tomcat 任意文件写入(CVE-2017-12615) 1.漏洞介绍 1.1影响范围: Apache Tomcat 7.0.0 - 7.0.81 1.2漏洞原因: Tomcat配置文件/conf/web.xml 配置了可写(readonly=false),导致可以使用PUT方法上传任意文件,攻击者将精心构造的
常见Tomcat漏洞
starhei.zxy的博客
08-06 2503
JBoss是一个基于J2EE的开发源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss广为流行。
tomcat也终于出现漏洞了
懿的博客
07-20 1062
、 1.Tomcat漏洞介绍 使用 Apache Tomcat 软件了 Java Servlet,JavaServer 页,Java 表达式语言和 Java 的 WebSocket 技术的一个开源实现。Java Servlet,JavaServer Pages,Java Expression Language和Java WebSocket规范是在Java Community Process下开发的 。 阿粉相信大家现在用什么版本的多有,从7.0到目前最新的10.0的用什么版本的都有,但是现在,Tomcat
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值