apache tomcat版本泄露漏洞修复记录

最新推荐文章于 2024-06-03 14:12:05 发布
最新推荐文章于 2024-06-03 14:12:05 发布
阅读量529 收藏
点赞数
分类专栏: tomcat漏洞修复记录 文章标签: apache tomcat java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ni_e_xin/article/details/134839241
版权

金山对项目做了一次渗透测试,扫描到一些漏洞,今天下午解决了一个
说难不难,就是找修复办法费时间。

漏洞描述

错误页面由服务器产生403、404、500,502 等错误时,返回详细的错误信息。报错信息中可能会包含服务器代码信息、数据库连接信息、SQL 语句、个人信息或者敏感文件的路径,为攻击者收集信息提供了方便。
http://ip地址/index.php?option=com_fields&view=fields&l
ayout=modal&list[fullordering]=updatexml(0x23,concat(1,md5(199
71628)),1)
他们访问了一个URL,结果页面报400错误,打印了错误信息和tomcat版本信息

项目描述

tomcat版本 8.5.5
注意,本文只针对tomcat8, tomcat9以及以上的不包括
因为tomcat8和9+对400错误信息的处理不同
参考文章1

解决办法

按照上面参考文章1的办法,修改 tomcat/conf/server.xml 配置文件

<Host name="localhost"  appBase="webapps" 
	unpackWARs="true" autoDeploy="true">
	   <Valve className="org.apache.catalina.valves.ErrorReportValve" 
	   showReport="false" showServerInfo="false" />
</Host>

我这里只修改了配置文件,没有进行后面重写编译的步骤。所以页面上就不会展示任何错误信息了
400错误图

页面不会出现任何错误信息,除了一行400。
其他的错误 400 以外的,可以参考这里
错误页面定向
我这里复制来了修改方法:
修改WEB-INF/web.xml配置文件

<!-- =======================================错误页配置开始====================================== -->
     	<!-- 400错误 -->
     	<error-page>
     		<error-code>400</error-code>
     		<location>/error.jsp</location>
     	</error-page>
     	<!-- 404 页面不存在错误 -->
     	<error-page>
     		<error-code>404</error-code>
     		<location>/error.jsp</location>
     	</error-page>
     	<!-- 500 服务器内部错误 -->
     	<error-page>
     		<error-code>500</error-code>
     		<location>/error.jsp</location>
     	</error-page>
     	<!-- java.lang.Exception异常错误,依据这个标记可定义多个类似错误提示 -->
     	<error-page>
     		<exception-type>java.lang.Exception</exception-type>
     		<location>/error.jsp</location>
     	</error-page>
     	<!-- java.lang.NullPointerException异常错误,依据这个标记可定义多个类似错误提示 -->
     	<error-page>
     		<exception-type>java.lang.NullPointerException</exception-type>
     		<location>/error.jsp</location>
     	</error-page>
     	<error-page>
     		<exception-type>javax.servlet.ServletException</exception-type>
     		<location>/error.jsp</location>
     	</error-page>
      <!-- =======================================错误页配置结束====================================== -->

这里页面路径是项目根目录下的 也就是你的webroot下,当然可以再指定webroot下的文件夹里的
自己写一个错误页面就可以
能深入的可以参考下面的文章2
参考文章2
tomcat8如果想要自定义400错误页面是有些麻烦的,参考上面的参考文章2。

结语

欢迎评论区、私信交流技术。

想要和得到,还需要做到
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞
09-25
9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取...
apache Tomcat 漏洞
09-27
- **官方安全文档**:Apache Tomcat 5.x版本的安全漏洞列表及相关修复信息可访问以下链接获取: - [Apache Tomcat 安全公告](http://tomcat.apache.org/security-5.html) #### 六、总结 Apache Tomcat作为广泛...
Apache Tomcat默认文件漏洞
热门推荐
weixin_43837718的博客
08-07 2万+
Apache Tomcat默认文件漏洞 一、概要 漏洞描述:默认错误页面,默认索引页面,示例JSP和/或示例servlet安装在远程Apache Tomcat服务器上。应删除这些文件,因为它们可能有助于攻击者发现有关远程Tomcat安装或主机本身的信息。 漏洞风险:中 修复建议:删除默认索引页并删除示例JSP和servlet。按照Tomcat或OWASP说明更换或修改默认错误页面。 二、解决办...
Tomcat版本泄露
u013008898的博客
02-19 712
Tomcat报错页面泄漏Apache Tomcat/7.0.92相关版本号信息,是攻击者攻击的途径之一。因此实际当中建议去掉版本号信息。随便访问一个tomcat不存在的界面。
Tomcat中间件版本信息泄露
最新发布
虫虫的博客
06-03 611
Tomcat中间件版本信息泄露
修复Tomcat服务器版本泄露
weixin_42299610的博客
04-12 889
2.备份catalina.jar包。1.进入tomcat安装目录。
浅谈Nginx(或LNMP)、Apache(或LAMP)、Tomcat版本信息泄露危险和修复方法
满天点点星辰的博客
04-07 4177
在使用Nginx(或lnmp)做反向代理、集群或是做跨域配置、Apache(或lamp)和Tomcat做为应用端使用时,其相关版本号和软件名称信息泄露,此时攻击者会利用相应软件版本的当前漏洞,进行有效的相应攻击。
渗透测试tomcat错误信息泄露解决办法
huan1213858的博客
10-23 1156
showServerInfo:如果发生任何错误,用于在错误页面上显示当前服务器标志(默认true)showReport:如果发生错误用于返回错误页面的错误信息和状态码(默认true)1、使用tomcat8.5.16,会重定向非法url到登录url。2、配置server.xml,加上。3.项目web.xml配置。状态码4.1跳转到指定页面。
Tomcat-8.5.28 无漏洞
03-05
Apache Tomcat的开发者们在发现此类漏洞后,会立即进行修复并发布新版本,比如这里的8.5.28。在升级到这个版本之后,用户可以确保他们的服务器免受此漏洞的威胁。通常,这种更新过程包括安装新的二进制文件或应用...
apache-tomcat-7.0.79.zip
07-14
修复了一些已知的安全漏洞,提高了服务的可靠性,并对内存管理进行了改进,降低了内存泄漏的可能性。 3. **安装与配置**:解压"apache-tomcat-7.0.79.zip"后,用户需要根据自己的操作系统进行相应的配置,包括...
apache-tomcat-7.0.109版本
09-23
在这个特定的场景中,我们关注的是Apache Tomcat的7.0.109版本,这个版本的发布主要是为了修复一系列的安全漏洞,其中最引人关注的是CVE-2020-1938。 CVE-2020-1938是2020年公开的一个严重安全漏洞,被称为“Tomcat...
apache-tomcat-8.0.53.zip
04-10
Apache Tomcat 8.0.53是一个重要的更新,它包含了对先前版本修复、性能优化和安全性增强。这个版本可能包含了以下关键特性: 1. **安全性更新**:Tomcat 8.0.x系列的每个新版本通常都会修复已知的安全漏洞。这些...
Apache Tomcat v9.0.26
11-05
1. **安全性增强**:Tomcat 9.0.26修复了多个安全漏洞,包括防止跨站脚本(XSS)、SQL注入和其他类型的攻击。这些更新对于保护用户数据和服务器安全至关重要,因为Web应用常常是黑客攻击的目标。 2. **性能优化**:...
Apache Tomcat v9.0.11
10-10
v9.0.11版本可能包含安全更新,修复了之前版本中发现的漏洞,增强了系统的安全性。 4. **扩展性**:通过使用插件和自定义 Valve 组件,Tomcat 可以根据需求进行扩展。Valve组件允许开发者插入自定义逻辑到请求处理...
java项目请求url存在特殊字符 400错误
weixin_43831997的博客
12-11 3640
springmvc项目,请求路径URL带特殊字符,就会400错误,这就泄露了服务器版本和报错信息,无疑是敏感信息泄露,实属安全漏洞。补充项目环境:springmvc、tomcat 8.5.59。
tomcat漏洞如何修复
baimaozi008的博客
04-28 1281
Apache Tomcat 是一款广泛使用的开源Java Servlet容器,由于其广泛的使用,它经常成为安全研究和攻击的目标。修复Tomcat中的漏洞是保证Web应用安全的重要一环。
Apache Tomcat 信息泄露漏洞CVE-2023-28708处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-10 6395
那么Tomcat就会删除之前的War包解压的文件夹,重新解压新的War包。导致信息泄露,相关分析这是由于在请求https的时候可重定向到http连接,这个过程会导致会话劫持风险,造成Cookie或Session不安全传输,攻击者可利用该漏洞可在未授权的情况下泄漏 Cookie 或 Session,最终造成服务器敏感性信息泄露。改变,包括web-inf/class,wen-inf/lib,web-inf/web.xml等文件,若发生更改,则局部进行加载,不清空session ,不释放内存。
Apache Tomcat WebSocket 拒绝服务漏洞修复程序怎么下载
06-06
Apache Tomcat WebSocket 拒绝服务漏洞修复程序是由 Apache 官方发布的补丁程序,可以用于修复 CVE-2020-13935 漏洞。 您可以按照以下步骤下载修复程序: 1. 访问 Apache Tomcat 的官方网站:http://tomcat.apache.org/ 2. 在页面顶部的导航栏中,找到“Downloads”选项,并点击进入。 3. 在“Downloads”页面中,找到您所需的 Tomcat 版本,并选择“Binaries”链接。 4. 在“Binaries”页面中,找到“Patch”链接,单击进入。 5. 在“Patch”页面中,找到“Tomcat 10.0.x WebSocket DoS Patch”或“Tomcat 9.0.x WebSocket DoS Patch”,单击下载链接。 6. 下载完成后,按照 Apache 官方的说明文档中的步骤进行安装和使用。 需要注意的是,修复程序仅适用于受影响的 Tomcat 版本,如果您的 Tomcat 版本不受此漏洞影响,则不需要安装修复程序。建议您先确认您的 Tomcat 版本是否受影响,再考虑是否需要安装修复程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值