tomcat包自带examples漏洞

于 2022-04-10 15:11:04 发布
阅读量3k 收藏 3
点赞数 1
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392409/article/details/124078716
版权

Tomcat是一款轻量级应用服务,且使用方便,解压后即可使用。在解压后的文件目录里有tomcat自带的webapp/docs和webapp/example文件夹,docs是tomcat的说明文档,example是tomcat自带的示例,可以通过http://xxxxx/docs和http://xxxxx/examples进行访问,本意是用来说明和演示tomcat的功能的。
但是最近发现有的版本的tomcat部署完成以后,这两个链接仍然可用,不太清楚是版本的原因还是部署的原因。docs是文档,所以基本不存在风险,但是examples里面有session,而tomcat的session是共享的,这使得在不需要任何权限的情况下,可以通过examples的session示例对tomcat中的session进行修改,这样的话可能会造成某人通过examples篡改session,从而获取管理员权限等问题。
所以在使用tomcat部署应用的时候,建议先备份或者直接删掉webapp/docs和webapp/example文件夹。

m0_67392409
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wicket examples
04-13
wicket1.5.9的例子,里面含了源码。
技术分享 [POC编写]Apache Tomcat样例目录session操纵漏洞(1)
最新发布
2401_83621634的博客
04-14 664
不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!根据请求与响应信息进行填写,需注意响应测试内容想多添加内容需鼠标左键点击第一个group(根据需求进行增加)或单独编辑PoC文件添加。名称不可填写中文,否则生成会出错,但后期可修改(只支持字母、数字、下划线)。根据内容填写就好,但要注意名称需英文,若需填写其它信息点击[高级配置]。漏洞-PoC管理-自定义PoC。根据规则添加关键信息。
Tomcat 样例目录session操控漏洞
小小猪的博客
11-19 8113
Tomcat 样例目录session操控漏洞 漏洞描述: ApacheTomcat默认安装页面中存在examples样例目录。里面存放着Servlets、JSP、WebSocket的一些服务脚本和接口等样例。其中Servletsexamples服务样例下存在一个session的样例。该样例可以允许用户对session来进行操控。因为session是全局通用的,所以也就可以利用该样例下的session来操控管理员的session来进行会话传输操控管理员的账户进行恶意操作。 漏洞分析: 我们直接看核心代
Tomcat 样例目录暴露(低危)
打代码的小女孩
06-06 1万+
Apache Tomcat样例目录session操纵漏洞 0x00 背景 前段时间扫到的漏洞,研究了下,感觉挺有意思的,发出来和大家分享下,有啥不对的地方还请各位拍砖指正。 Apache Tomcat默认安装含”/examples”目录,里面存着众多的样例,其中session样例(/examples/servlets/servlet/SessionExample)允许用户对sess...
渗透测试成长篇-Apache Tomcat样例目录session操纵漏洞
m0_51186260的博客
08-10 7038
1.前言: 大家好,渗透测试小白成长的一次分享。大佬绕过,在我前几天的一次渗透测试项目中,在用AWVS扫的时候,偶然的发现了这个漏洞,说真的,这个漏洞是我渗透测试第一次遇到,就简单的复现记录一下,对我来说,分享就是成长。 2.背景: 用AWVS扫到一个漏洞 翻译了一下,这叫做Apache Tomcat样例目录session操纵漏洞 Apache Tomcat默认安装含”/examples”目录,里面存着众多的样例,其中session样例(/examples/servlets/servlet/
技术分享 | [POC编写]Apache Tomcat样例目录session操纵漏洞
m0_46699477的博客
01-18 1773
前言: Apache Tomcat默认安装examples目录,里面存着众多的样例,其中session样例(目标/examples/servlets/servlet/SessionExample)允许用户对session进行操纵,因为session是全局通用的,所以用户可以通过操纵session获取管理员权限。 0x001 准备 1.1 编写准备 Goby 漏洞相关资料 1.2 编写区域 漏洞-PoC管理-自定义PoC 自定义PoC截图 1.3 注意事项 名称不可填写中文,否则生成会出错,但后.
[渗透]Apache Tomcat示例目录漏洞
热门推荐
胖胖的ALEX
02-21 3万+
漏洞等级:中 Apache Tomcat默认安装含"/examples"目录,该目录含许多示例servlet和JSP。其中一些示例存在安全风险,不应部署在生产服务器上。 http://localhost:8080/examples/servlets/servlet/SessionExample 示例允许会话操作。因为会话是全局的,所以这个示例会带来很大的安全风险,因为攻击者可用通过操纵其会话来...
tensorflow examples
02-09
如果tensorflow2缺了tensorflow examples,可以下载这个至C:\Users\Anaconda\envs\TF2.1\Lib\site-packages\tensorflow,就可以正常使用了
2011年1月20日 TOMCAT配置 及EXAMPLE文件夹简单浏览
03-20
NULL 博文链接:https://zok.iteye.com/blog/889199
silvaco tcad examples
03-07
学习silvaco tcad 的一些例子,免费学习的重要手段
knime-examples:此存储库含KNIME Analytics Platform的示例实现
02-14
org.knime.examples.numberformatter :含KNIME扩展的参考实现的示例,即括简单节点的Eclipse插件项目。 发展 您可以在或上的knime-sdk-setup存储库中找到有关如何使用我们的代码或为KNIME Analytics Platform...
EM_examples.pdf
03-17
EM_examples.pdf
API_EXAMPLES.zip
03-19
API_EXAMPLES
Tomcat example 应用信息泄漏漏洞及修复
千寻的博客
10-24 4494
文章目录Tomcat 介绍漏洞描述受影响范围漏洞复现修复方案免责声明 Tomcat 介绍 Tomcat 是一款开源的Web 应用服务器软件。 Tomcat 属于轻量级应用服务器,在中小型系统和并发访问用户不多的场合下被普遍使用,是开发和调试 JSP 程序的首选。 漏洞描述 Tomcat 在使用时一般直接下载源代码,解压后直接使用。 默认情况下,Tomcat 源码 Web 根目录下含servlets-examples 和 tomcat-docs目录,这些目录下的某些样例存在安全风险。 例如,ses
tomcat web漏洞整改--Apache Tomcat examples directory vulnerabilities
weixin_30501857的博客
01-23 1111
在利用AWVS等弱扫工具对网站进行漏洞扫描时,经常会出现一些Tomcat漏洞问题,一般在弱扫报告中,都会给出简单的处理办法,但有时这些办法可能不太适合我们,或者在一些正式使用的环境中,不好操作,那么我们就需要有一些方便且可行的操作进行漏洞整改 出现漏洞Apache Tomcat examples directory vulnerabilities AWVS的建议方案是:禁止访问公...
Tomcat样列目录session操控漏洞
weixin_50464560的博客
07-06 1543
友情链接:tomcat反序列化漏洞(cve-2016-8735)Tomcat的PUT的上传漏洞(CVE-2017-12615)Tomcat后台弱口令上传war漏洞复现复现起源:近期在项目中碰到的ApacheTomcat中间件愈来愈多,于是乎。想着做一个整理。将ApacheTomcat中间件的几大较为重要的高危漏洞做一个总结整理复现。用作来巩固更新自己的知识库。在这里感谢公司Bearcat师傅和残忆师傅以及李师傅等指导和共享精神。题外话:今天我们复现Tomcat样例目录session操控漏洞。在实战中也碰到
tomcat examples
07-28
Tomcat examples指的是Tomcat服务器中的示例应用程序。Tomcat是一个开源的Java Web服务器,提供了一些预置的示例应用程序,旨在帮助用户理解和学习如何在Tomcat环境下开发和部署Web应用程序。 Tomcat examples中括了一些常见的示例应用程序,如JSP示例、Servlet示例、WebSocket示例等。这些示例应用程序展示了不同类型的Web应用程序的开发和部署方式,方便用户学习和参考。 通过Tomcat examples,用户可以学习到如何编写JSP页面和Servlet,如何处理HTTP请求和响应,如何使用Java WebSocket API等。这些示例应用程序提供了完整的代码和文档,用户可以通过运行示例应用程序来了解其工作原理和实现方式。 另外,Tomcat examples还提供了一些附加的示例应用程序,演示了Tomcat服务器的其他功能和特性,如数据库连接池、会话管理等。这些示例应用程序可以帮助用户更好地了解和使用Tomcat服务器,提升Web应用程序的性能和可靠性。 总之,Tomcat examples是一个非常有用的资源,它提供了丰富的示例应用程序,帮助用户学习和掌握Tomcat服务器的开发和部署技巧。无论是初学者还是有一定经验的开发者,都可以从Tomcat examples中获益,并应用到实际的Web应用程序开发中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值