apache tomcat版本泄露漏洞修复记录

最新推荐文章于 2024-06-03 14:12:05 发布
最新推荐文章于 2024-06-03 14:12:05 发布
阅读量521 收藏
点赞数
分类专栏: tomcat漏洞修复记录 文章标签: apache tomcat java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ni_e_xin/article/details/134839241
版权

金山对项目做了一次渗透测试,扫描到一些漏洞,今天下午解决了一个
说难不难,就是找修复办法费时间。

漏洞描述

错误页面由服务器产生403、404、500,502 等错误时,返回详细的错误信息。报错信息中可能会包含服务器代码信息、数据库连接信息、SQL 语句、个人信息或者敏感文件的路径,为攻击者收集信息提供了方便。
http://ip地址/index.php?option=com_fields&view=fields&l
ayout=modal&list[fullordering]=updatexml(0x23,concat(1,md5(199
71628)),1)
他们访问了一个URL,结果页面报400错误,打印了错误信息和tomcat版本信息

项目描述

tomcat版本 8.5.5
注意,本文只针对tomcat8, tomcat9以及以上的不包括
因为tomcat8和9+对400错误信息的处理不同
参考文章1

解决办法

按照上面参考文章1的办法,修改 tomcat/conf/server.xml 配置文件

<Host name="localhost"  appBase="webapps" 
	unpackWARs="true" autoDeploy="true">
	   <Valve className="org.apache.catalina.valves.ErrorReportValve" 
	   showReport="false" showServerInfo="false" />
</Host>

我这里只修改了配置文件,没有进行后面重写编译的步骤。所以页面上就不会展示任何错误信息了
400错误图

页面不会出现任何错误信息,除了一行400。
其他的错误 400 以外的,可以参考这里
错误页面定向
我这里复制来了修改方法:
修改WEB-INF/web.xml配置文件

<!-- =======================================错误页配置开始====================================== -->
     	<!-- 400错误 -->
     	<error-page>
     		<error-code>400</error-code>
     		<location>/error.jsp</location>
     	</error-page>
     	<!-- 404 页面不存在错误 -->
     	<error-page>
     		<error-code>404</error-code>
     		<location>/error.jsp</location>
     	</error-page>
     	<!-- 500 服务器内部错误 -->
     	<error-page>
     		<error-code>500</error-code>
     		<location>/error.jsp</location>
     	</error-page>
     	<!-- java.lang.Exception异常错误,依据这个标记可定义多个类似错误提示 -->
     	<error-page>
     		<exception-type>java.lang.Exception</exception-type>
     		<location>/error.jsp</location>
     	</error-page>
     	<!-- java.lang.NullPointerException异常错误,依据这个标记可定义多个类似错误提示 -->
     	<error-page>
     		<exception-type>java.lang.NullPointerException</exception-type>
     		<location>/error.jsp</location>
     	</error-page>
     	<error-page>
     		<exception-type>javax.servlet.ServletException</exception-type>
     		<location>/error.jsp</location>
     	</error-page>
      <!-- =======================================错误页配置结束====================================== -->

这里页面路径是项目根目录下的 也就是你的webroot下,当然可以再指定webroot下的文件夹里的
自己写一个错误页面就可以
能深入的可以参考下面的文章2
参考文章2
tomcat8如果想要自定义400错误页面是有些麻烦的,参考上面的参考文章2。

结语

欢迎评论区、私信交流技术。

想要和得到,还需要做到
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Tomcat默认文件漏洞
weixin_43837718的博客
08-07 2万+
Apache Tomcat默认文件漏洞 一、概要 漏洞描述:默认错误页面,默认索引页面,示例JSP和/或示例servlet安装在远程Apache Tomcat服务器上。应删除这些文件,因为它们可能有助于攻击者发现有关远程Tomcat安装或主机本身的信息。 漏洞风险:中 修复建议:删除默认索引页并删除示例JSP和servlet。按照Tomcat或OWASP说明更换或修改默认错误页面。 二、解决办...
Tomcat版本泄露
u013008898的博客
02-19 706
Tomcat报错页面泄漏Apache Tomcat/7.0.92相关版本号信息,是攻击者攻击的途径之一。因此实际当中建议去掉版本号信息。随便访问一个tomcat不存在的界面。
Tomcat中间件版本信息泄露
最新发布
虫虫的博客
06-03 523
Tomcat中间件版本信息泄露
Tomcat错误信息(服务器版本号)泄露(低危)
Denial_learn的博客
10-09 786
1、进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar 进入到\org\apache\catalina\util目录下 2、编辑ServerInfo.properties文件,编辑最后三行,去掉版本号等信息 3、改完后自动跳出提示,点击“是”自动更新catalina.jar重新打包。 ...
安全预警 | 知名 Web 应用服务器 Tomcat 信息泄漏和远程代码执行漏洞
静静是我女朋友
09-20 3337
原文地址:https://mp.weixin.qq.com/s/RrD8e3mpl9oRgEaf1JKKdQ?client=tim&ptlang=2052&ADUIN=1835083655&ADSESSION=1505840723&ADTAG=CLIENT.QQ.5531_.0&ADPUBNO=26692 2017年9月19日,腾讯云安全中心监测到  Apache Tomcat
腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞
09-25
9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取...
Tomcat-8.5.28 无漏洞
03-05
Apache Tomcat的开发者们在发现此类漏洞后,会立即进行修复并发布新版本,比如这里的8.5.28。在升级到这个版本之后,用户可以确保他们的服务器免受此漏洞的威胁。通常,这种更新过程包括安装新的二进制文件或应用...
apache-tomcat-7.0.79.zip
07-14
修复了一些已知的安全漏洞,提高了服务的可靠性,并对内存管理进行了改进,降低了内存泄漏的可能性。 3. **安装与配置**:解压"apache-tomcat-7.0.79.zip"后,用户需要根据自己的操作系统进行相应的配置,包括...
apache-tomcat-7.0.109版本
09-23
在这个特定的场景中,我们关注的是Apache Tomcat的7.0.109版本,这个版本的发布主要是为了修复一系列的安全漏洞,其中最引人关注的是CVE-2020-1938。 CVE-2020-1938是2020年公开的一个严重安全漏洞,被称为“Tomcat...
apache-tomcat-8.0.53.zip
04-10
Apache Tomcat 8.0.53是一个重要的更新,它包含了对先前版本修复、性能优化和安全性增强。这个版本可能包含了以下关键特性: 1. **安全性更新**:Tomcat 8.0.x系列的每个新版本通常都会修复已知的安全漏洞。这些...
Tomcat中间件版本信息泄露解决方案
bobozai86的博客
11-16 4417
修改之前默认报错页面信息会暴露出版本号。 进入tomcat的lib目录找到catalina.jar文件 unzip catalina.jar之后会多出两个文件夹 进入org/apache/catalina/util编辑配置文件ServerInfo.properties修改为: server.info=ApacheTomcat server.number=0.0.0.0 server.b...
软件安全(二)--Tomcat报错暴露版本号问题
qq_34946077的博客
03-14 1316
nginx.conf 配置:fastcgi_intercept_errors on;error_page 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 500 501 502 503 504 505 /error.html;
浅谈Nginx(或LNMP)、Apache(或LAMP)、Tomcat版本信息泄露危险和修复方法
满天点点星辰的博客
04-07 4107
在使用Nginx(或lnmp)做反向代理、集群或是做跨域配置、Apache(或lamp)和Tomcat做为应用端使用时,其相关版本号和软件名称信息泄露,此时攻击者会利用相应软件版本的当前漏洞,进行有效的相应攻击。
渗透测试tomcat错误信息泄露解决办法
huan1213858的博客
10-23 1140
showServerInfo:如果发生任何错误,用于在错误页面上显示当前服务器标志(默认true)showReport:如果发生错误用于返回错误页面的错误信息和状态码(默认true)1、使用tomcat8.5.16,会重定向非法url到登录url。2、配置server.xml,加上。3.项目web.xml配置。状态码4.1跳转到指定页面。
【中间件漏洞Apache HTTPD 漏洞全集复现(基于Vulhub平台)
Continuejww的博客
09-11 787
①CVE-2017-15715 ②多后缀解析漏洞 ③远程命令执行漏洞 ④CVE-2021-41773 ⑤CVE-2021-42013 ⑥CVE-2021-40438
修复Tomcat服务器版本泄露
weixin_42299610的博客
04-12 886
2.备份catalina.jar包。1.进入tomcat安装目录。
Apache Tomcat WebSocket 拒绝服务漏洞修复程序怎么下载
06-06
Apache Tomcat WebSocket 拒绝服务漏洞修复程序是由 Apache 官方发布的补丁程序,可以用于修复 CVE-2020-13935 漏洞。 您可以按照以下步骤下载修复程序: 1. 访问 Apache Tomcat 的官方网站:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值