Tomcat漏洞
什么是Tomcat:Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上作为一个与Apache 独立的进程单独运行的。诀窍是,当配置正确时,Apache 为HTML页面服务,而Tomcat 实际上运行JSP 页面和Servlet。
漏洞:
1.远程任意代码执行(CVE-2017-12615)
版本:Tomcat 7.0.0 – 7.0.81
漏洞原因:Tomcat 运行在Windows 主机上,且启用了PUT请求方法,可构造攻击请求向服务器上传包含任意代码的JSP文件,上传时用%20代替空格
利用:通过PUT请求上传jsp恶意代码,如:<%Runtime.getRuntime().exec(request.getParameter(“cmd”));%>造成远程任意代码执行
修复:升级容器版本;禁止PUT请求
2.war文件的后台部署
背景:
war包一般是在进行Web开发时,通常是一个网站Project下的所有源码的集合,里面包含前台HTML/CSS/JS的代码,也包含Java的代码。当开发人员在自己的开发机器上调试所有代码并通过后,为了交给测试人员测试和未来进行产品发布,都需要将开发人员的源码打包成War进行发布。War包可以放在Tomcat下的webapps或者word目录下,随着tomcat服务器的启动,它可以自动被解压。
漏洞原因:
Tomcat后台密码爆破,若能进入后台,则部署war包,相当于可以上传大马
修复:
(1)在系统上以低权限运行Tomcat应用程序。
(2)增加对于本地和基于证书的身份验证,部署账户锁定机制(对于集中式认证,目录服务也要做相应配置)。在CATALINA_HOME/conf/web.xml文件设置锁定机制和时间超时限制。
(3)以及针对manager-gui/manager-status/manager-script等目录页面设置最小权限访问限制。
(4)后台管理避免弱口令。
217
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
