服务器路径泄露漏洞

最新推荐文章于 2024-04-24 23:01:31 发布
最新推荐文章于 2024-04-24 23:01:31 发布
阅读量1.9k 收藏
点赞数
分类专栏: 网站漏洞 文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linhl_sdysit/article/details/111316328
版权

tornado服务器路径泄露漏洞

该漏洞一般是由于目标web应用没有处理好应用错误信息导致的。如果攻击者获取到这些信息,可以了解目标服务器目录结构,并通过利用该信息,再配合其它漏洞对目标服务器实施进一步的攻击。

Traceback (most recent call last):
  File "/usr/local/python27/lib/python2.7/site-packages/tornado/web.py", line 1590, in _execute
    result = method(*self.path_args, **self.path_kwargs)
  File "/usr/local/python27/lib/python2.7/site-packages/tornado/web.py", line 238, in put
    raise HTTPError(405)
HTTPError: HTTP 405: Method Not Allowed

解决方法:

重写write_error,实现自定义错误页面。
send_error 在其底层调用的是write_error;因此只要重写此方法,就可以实现自定义的的错误页面

#自定义错误页面

class Session(tornado.web.RequestHandler):
    def write_error(self, status_code, **kwargs):
        self.write('not support')
林洪亮
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全防范
宅神的博客
06-28 4630
web安全 安全永远是产品的最基础需求 这里总结几种常见攻击与防范 一.XSS XSS,跨站脚本攻击,原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。 1. 非持久性XSS 非持久型 XSS 漏洞,也叫反射型 XSS 漏...
信息泄露漏洞
jelly
07-27 6634
前言:信息泄露包括的内容很广泛,很多漏洞都可以归为信息泄露类的漏洞,所以这类漏洞需要去细细消化其中的每个技术. 本篇笔记主要参考burp学院的信息泄露相关内容 什么是信息泄露 是指网站无意间向用户泄露敏感信息。根据上下文,网站可能会将各种信息泄漏给潜在的攻击者,包括: 有关其他用户的数据,例如用户名或财务信息 敏感的商业或商业数据 有关网站及其基础架构的技术细节 泄露敏感的用户或业务数据的危险相当明显,但泄露技术信息有时可能同样严重。尽管某些信息用途有限,但它可能是暴露其他攻击面的起点,其中可能包含其他
tornado模板注入
最新发布
m0_74196038的博客
04-24 343
服务器端模板注入是指攻击者能够利用服务端所采用的模板(框架)语法将恶意有效负载注入模板中,然后在服务器端执行该模板。我在最后拿到cookie然后进行md5的时候,找了一个网站进行加盐的md5,但是结果不对,可能是我哪里搞错了。tornado是python当中的一个模板,因此这个漏洞是归属于SSTI(服务器模板漏洞),所谓的模板其实就是一种框架,python当中常见的模板漏洞还有flask。这是我在做一道ctf题目当中遇到的,不太会,所以浅浅学习了一下,跟大家分享。在Tornado里,应用的设置可以通过。
Drupal核心路径泄露漏洞
Yatere的天平秤
06-17 1421
版本:Drupal Drupal 7.x http://localhost/?q[]=x ------------------------------------- Hotfix: Search for: $path = trim($path, '/'); And add the following line above: if(is_
phpMyAdmin 完整路径泄露漏洞
weixin_30508241的博客
08-10 351
漏洞名称: phpMyAdmin 完整路径泄露漏洞 CNNVD编号: CNNVD-201307-650 发布时间: 2013-08-09 更新时间: 2013-08-09 危害等级: 中危 漏洞类型: 信息泄露 威胁类型: 远程 CVE编号: CVE-2013-4998 ...
PHP网站路径泄漏,网站异常页面导致服务器路径泄漏
weixin_28756833的博客
03-19 555
漏洞名称:网站异常页面导致服务器路径泄漏危险等级:★★★☆☆(中危)披露时间:未知漏洞描述:由于异常页面(如404、500或其他错误页面),在报错信息中包含了你的服务器上的物理路径。本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中),通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。解决方案:1、如果WEB应用程序...
phpMyAdmin 完整路径泄露漏洞2
weixin_30627381的博客
08-10 300
漏洞名称: phpMyAdmin 完整路径泄露漏洞 CNNVD编号: CNNVD-201307-651 发布时间: 2013-08-09 更新时间: 2013-08-09 危害等级: 中危 漏洞类型: 信息泄露 威胁类型: 远程 CVE编号: CVE-2013-4999 ...
基于“物理路径泄露漏洞谈网络安全问题防范.pdf
09-19
在网络安全领域,"物理路径泄露"漏洞是一种常见的安全漏洞,它可以让攻击者获取服务器的物理路径信息,进而实施进一步的攻击。该漏洞属于中低危风险漏洞,但攻击者可以配合其他漏洞及渗透工具对网站服务器造成入侵...
处理网站本地路径泄露补丁
07-02
文档“本地路径泄露漏洞一键修复脚本说明(IIS6.0_7.5+ASP.NET).doc”则提供了一种快速修复方案,适用于使用IIS 6.0和7.5版本的服务器以及基于ASP.NET的Web应用程序。文档很可能会详细解释如何运行这个修复脚本,...
解决360检测出文件目录列表显示漏洞的方法
09-30
主要介绍了用360安全检测扫了本站,出现文件目录列表显示漏洞提示和同主机网站安全存在旁注风险警告的解决方法,需要的朋友可以参考下
web漏洞概述
06-13
物理路径泄露一般是由于WEB服务器处理用户请求出错导致的,如通过提交一个超长的请求,或者是某个精心构造的特殊请求,亦或是请求一个WEB服务器上不存在的文件。这些请求都有一个共同特点,那就是被请求的文件肯定...
JSP漏洞大观
01-08
在Apache1.2以及以后的版本中存在一个mod_rewrite模块,它用来指定特殊URLS在网络服务器文件系统上所映射的绝对路径。如果传送一个包含正确表达参数的重写规则,攻击者就可以查看目标主机上的任意文件。 下面举例...
php执行路径漏洞,phpMyAdmin phpmyadmin.css.php完全路径泄露漏洞
weixin_42396502的博客
03-23 204
发布日期:2011-10-17更新日期:2011-10-18受影响系统:phpMyAdmin phpMyAdmin 3.4.5描述:--------------------------------------------------------------------------------phpMyAdmin是一个用PHP编写的,可以通过 web 方式控制和操作 MySQL 数据库。phpMyA...
文件绝对路径泄露
fansenliangren的博客
11-22 3476
在网站系统对用户提交的非法请求回复错误信息,或HTML、JaveScript等源码书写疏忽等情况下,易发生服务器系统某些文件的绝对路径泄露。通过制造报错使应用泄露出应用在主机中的绝对地址路径,攻击者可以通过泄露的绝对路径,分析网站结构,为后续上传恶意后门(如webshell等)创造了条件。
web漏洞-物理路径泄露
qq_35578446的博客
03-15 2859
一、漏洞描述 应用中泄露出应用在主机中的绝对地址路径。 二、测试方法 1.打开网页源代码,查看图片等媒体的链接及超链接; 2.通过报错信息获取; 3.攻击者可通过获取网站物理路径,为下一步攻击做准备。 三、修复方法 媒体链接和超链接采用相对路径的表达方式; 报错信息中不对外输出网站物理路径等敏感信息。 ...
PHP网站路径泄漏,WordPress出现的绝对路径泄露漏洞及修复方法
weixin_39863161的博客
03-19 441
现在很多朋友开始使用360网站卫士来检测网站漏洞,我刚刚尝试了一下,耗费时间大概需要50分钟,发现基于WordPress 的站点还是会检测出一些漏洞,虽然不知道这些漏洞是否是高危漏洞,而且由于本人对这块没有研究,不知道是否会影响网站的安全和运行,但是还是想完善这些检测出来的漏洞。只要检测出来的绝对路径漏洞,我们就可以相对这些文件来完善修复这些漏洞。下面我就针对自己的网站检测出来的漏洞来说说。漏洞...
漏洞检测:异常页面导致服务器路径泄漏 WASC Threat Classification
xuan2717的博客
08-23 274
漏洞检测:异常页面导致服务器路径泄漏 WASC Threat Classification
Tomcat示例页面泄露漏洞如何修复
05-27
Tomcat示例页面泄露漏洞是因为Tomcat默认安装包中包含了示例页面,而这些页面可能会泄露系统信息,因此需要对其进行修复。以下是修复Tomcat示例页面泄露漏洞的步骤: 1. 删除示例应用程序:在Tomcat的webapps目录下删除示例应用程序,包括"examples"、"docs"、"manager"和"host-manager"。 ``` cd /opt/tomcat/webapps/ sudo rm -r examples docs manager host-manager ``` 2. 禁用Tomcat用户管理器和Tomcat管理器页面:在Tomcat的conf目录下找到"tomcat-users.xml"文件,注释掉其中的用户管理器和Tomcat管理器页面。 ``` cd /opt/tomcat/conf/ sudo nano tomcat-users.xml ``` 在文件中注释掉以下两行: ``` <!-- <user username="admin" password="admin" roles="manager-gui,admin-gui"/> --> ``` 3. 更改默认管理页面路径:在Tomcat的conf目录下找到"server.xml"文件,修改默认管理页面路径。 ``` cd /opt/tomcat/conf/ sudo nano server.xml ``` 在文件中找到以下代码段: ``` <Context docBase="${catalina.home}/webapps/manager" privileged="true" antiResourceLocking="false" antiJARLocking="false" > <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127\.0\.0\.1|::1|0:0:0:0:0:0:0:1" /> </Context> ``` 将其修改为: ``` <Context path="/tomcat-manager" docBase="${catalina.home}/webapps/manager" privileged="true" antiResourceLocking="false" antiJARLocking="false" > <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127\.0\.0\.1|::1|0:0:0:0:0:0:0:1" /> </Context> ``` 4. 重启Tomcat服务器:使用以下命令重启Tomcat服务器。 ``` sudo systemctl restart tomcat ``` 完成以上步骤后,Tomcat示例页面泄露漏洞就得以修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值