Apache Tomcat Default Files 修复记录

最新推荐文章于 2021-11-07 14:34:21 发布
最新推荐文章于 2021-11-07 14:34:21 发布
阅读量7.3k 收藏 3
点赞数 2
分类专栏: 漏洞 文章标签: Apache Tomcat Default Files  漏洞修复 tomcat 漏洞 隐藏tomcat版本号 去掉tomcat版本号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39512671/article/details/100543739
版权

Apache Tomcat Default Files

描述:tomcat默认文件会暴露tomcat的信息,比如在404页面会暴露tomcat的版本信息 

 

  

修复方法:

method1:

进入tomcat的lib目录下有一个catalina.jar包,路径/tomcat/lib/catalina.jar

解压后会有一个org文件,修改catalina.jar中的 org/apache/catalina/util/ServerInfo.properties

修改前:

修改后:

压缩替换

效果图

 

method2:修改tomcat/conf/web.xml

将一下代码加入到web.xml中,但是我是用了这种方法,错误也放在同目录下和ROOT目录下都试过了,访问的时候会出现一个空白页面,而不是错误页面,不知如何解


    <error-page>
  	<error-code>400</error-code>
	<location>/error.html</location>
    </error-page>

    <error-page>
	<error-code>404</error-code>
	<location>/error.html</location>
    </error-page>
 
   <error-page>
	<error-code>500</error-code>
	<location>/error.html</location>
    </error-page>

 

我不会GC
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
弱掃報告:Apache Tomcat Default FilesApache Tomcat 版本過舊(8.5.55) - 已解決
weixin_54519806的博客
01-19 947
發現問題: 弱掃報告有兩個弱點: 1. Apache Tomcat Default Files 問題 2. Apache Tomcat 版本過舊(8.5.5) 解決問題: Apache Tomcat Default Files → C:\apache-tomcat-8.5.55\lib\catalina.jar 解壓縮 → C:\apache-tomcat-8.5.55\lib\org\apache\catalina\util\ServerInfo.properties 將server.
nessus漏洞修复-------Apache Tomcat Default Files
anlu的博客
11-30 1万+
1.删除Tomcat中webapp下所有,保留你自己项目和ROOT两个,然后删除ROOT下所有文件,新建一个文件404.html,至于这个404页面写啥东西无所谓了 2.在conf/web.xml中添加如下 &lt;error-page&gt;         &lt;error-code&gt;404&lt;/error-code&gt;         &lt;location&gt;...
tomcat漏扫修复及调优
a120717的博客
06-30 5023
环境 Centos7 8G tomcat7 nessus漏扫修复 12085 - Apache Tomcat Servlet / JSP Container Default Files 删除tomcat/webapps/下example、doc、manager,(ROOT保留,内部只留下自定义的404页面) 35291 - SSL Certificate Signed...
Apache Tomcat默认文件漏洞
热门推荐
weixin_43837718的博客
08-07 2万+
Apache Tomcat默认文件漏洞 一、概要 漏洞描述:默认错误页面,默认索引页面,示例JSP和/或示例servlet安装在远程Apache Tomcat服务器上。应删除这些文件,因为它们可能有助于攻击者发现有关远程Tomcat安装或主机本身的信息。 漏洞风险:中 修复建议:删除默认索引页并删除示例JSP和servlet。按照Tomcat或OWASP说明更换或修改默认错误页面。 二、解决办...
tomcat nessus漏洞修复(Apache Tomcat Default Files)
long243416336的专栏
09-29 3112
1、删除tomcat下webapps目录下所有文件; 2、修改conf下server.xml,在host节点中添加以下配置: <Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false"/> 配置项说明: showReport:默认值为true,默认显示报错信息; showServerInfo:默认值为true...
Tomcat常见漏洞
aliaichidantong的博客
11-07 2107
一、The remote web server contains default files. # tomcat默认404页面会暴露tomcat版本号 # 添加默认页面 # vi 编辑tomcat下的conf/web.xml,末尾添加 …… # 程序默认访问页-可不加 <welcome-file-list> <welcome-file>index.html</welcome-file> <welcome-file>
Apache Tomcat 故障排除
Code357
01-10 659
1. JAVA_HOME 配置错误 /etc/profile   JAVA_HOME=/usr/local/jdk...... 2. 端口被占用    netstat -anb 改变tomcat 配置端口 grep -n  "8080" server.xml /tomcat-7.0.34/conf/server.xml 3. 正常启动 导航到另一个页面
从安装和配置 Apache Tomcat 到部署和运行 Java Web 应用程序详细教学.rar
最新发布
06-01
例如,C:\Program Files\Apache Software Foundation\Tomcat X.Y(X.Y代表版本号)。 3. 配置环境变量:为了方便命令行操作,需要设置系统环境变量。新建一个名为`CATALINA_HOME`的变量,值设为Tomcat的安装目录。 ...
apache-tomcat-8.5.55.zip
06-05
Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。但是,不能将TomcatApache HTTP服务器混淆,Apache HTTP服务器是用C语言实现的HTTPWeb服务器;这两个HTTP web server不是捆绑在一起的。Apache Tomcat包含了配置管理工具,也可以通过编辑XML格式的配置文件来进行配置。
apache Tomcat 漏洞
09-27
apache Tomcat 漏洞
腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞
09-25
9 月 19 日,腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意 JSP 文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码。      云鼎实验室通过对于漏洞描述,搭建漏洞环境,并对其进行复现。此漏洞为高危漏洞,即使是非默认配置,但是一旦存在漏洞,那么攻击者可以成功上传 webshell,并控制服务器。 复现 根据描述,在 Windows 服务器下,将 readonly 参数设置为 false 时,即可通过 PUT 方式创建一个 JSP 文件,并可以执行任意代码。    通过阅读 conf/web.xml 文件,可以发现:   默认 readonly 为 true,当 readonly 设置为 false 时,可以通过 PUT / DELETE 进行文件操控。   配置 readonly 为 false: 启动 Tomcat,利用 PUT 请求创建文件: 提示 404。通过描述中的 Windows 受影响,可以结合 Windows 的特性。其一是 NTFS 文件流,其二是文件名的相关限制(如 Windows 中文件名不能以空格结尾)来绕过限制:  访问发现可以正常输出:  分析 Tomcat 的 Servlet 是在 conf/web.xml 配置的,通过配置文件可知,当后缀名为 .jsp 和 .jspx 的时候,是通过JspServlet处理请求的:   可以得知,“1.jsp ”(末尾有一个和空格)并不能匹配到 JspServlet,而是会交由DefaultServlet去处理。当处理 PUT 请求时: 会调用resources.rebind: dirContext 为FileDirContext: 调用 rebind创建文件: 又由于 Windows 不允许“ ”作为文件名结尾,所以会创建一个 .jsp 文件,导致代码执行。 Bypass 分析 然而,经过黑盒测试,当 PUT 地址为/1.jsp/时,仍然会创建 JSP,会影响 Linux 和 Windows 服务器,并且 Bypass 了之前的补丁,分析如下。  在进入 bind 函数时,会声明一个 File 变量: 进入 File 后,会对 name 进行 normalize 最后得到的 path 就是没有最后 / 的 path 了: 影响  由于存在去掉最后的 / 的特性,那么这个漏洞自然影响 Linux 以及 Windows 版本。而且经过测试,这个漏洞影响全部的 Tomcat 版本,从 5.x 到 9.x 无不中枪。目前来说,最好的解决方式是将 conf/web.xml 中对于 DefaultServlet 的 readonly 设置为 true,才能防止漏洞
tomcat-8_API
06-30
Apache Tomcat Version 8.0.15 Release Notes ========= CONTENTS: ========= * Dependency Changes * API Stability * Bundled APIs * Web application reloading and static fields in shared libraries * ...
tomcat-7_API_帮助文档
06-26
Apache Tomcat Version 7.0.57 Release Notes ========= CONTENTS: ========= * Dependency Changes * API Stability * JNI Based Applications * Bundled APIs * Web application reloading and static fields...
tomcat 实现文件上传下载
04-01
Tomcat是一款开源的Servlet容器,它是Apache软件基金会的Jakarta项目的一部分,能够运行Java Servlet和JavaServer Pages(JSP)。 实现文件上传功能时,通常会使用Struts2的FileUpload拦截器。这个拦截器允许用户...
tomcat-5.5.23
08-27
BASE" argument, Tomcat will calculate all relative references for files in the following directories based on the value of $CATALINA_BASE instead of $CATALINA_HOME: <br>* conf - Server ...
网站漏洞扫描及常见问题解决
happylobster
08-13 4512
一、工具介绍 最近需要漏扫和渗透性测试,学习了行家的博客,决定使用下面几个工具,分别是Nessus、nmap、appscan和SQLmap。 Nessus:Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。 nmap:nmap 是不少黑客爱用的工具 ,黑客会利用nmap来搜集目标电脑的网络设定,从而计划攻...
Apache Tomcat 6.0 Directories and Files
Stainky的专栏
12-28 697
Apache Tomcat 6.0 Introduction Directories and Files     Throughout the docs, you'll notice there are numerous references to $CATALINA_HOME. This represents the root of your Tomcat instal
tomcat8 FAQ文档
03-28
Q: What is Tomcat 8? A: Tomcat 8 is an open-source web server and servlet container developed by the Apache Software Foundation. It is used to host Java-based web applications and provides support for servlets, JSP, and other Java-based technologies. Q: What are the system requirements for Tomcat 8? A: Tomcat 8 requires Java SE 7 or later and can be run on any operating system that supports Java. It is recommended to have at least 1GB of RAM and 1GB of free disk space for Tomcat 8. Q: How do I install Tomcat 8? A: Tomcat 8 can be downloaded from the Apache Tomcat website. Installation instructions are available on the website and vary depending on the operating system being used. Q: Can Tomcat 8 be used with other web servers? A: Yes, Tomcat 8 can be used as a standalone web server or as a servlet container within another web server such as Apache HTTP Server or Microsoft IIS. Q: How do I configure Tomcat 8? A: Tomcat 8 configuration is done through XML configuration files, which are located in the conf directory of the Tomcat installation. The main configuration file is server.xml, which contains configuration settings for the Tomcat server. Q: What is the difference between Tomcat 8 and Tomcat 9? A: Tomcat 9 is the successor to Tomcat 8 and includes several new features and improvements. Tomcat 9 requires Java SE 8 or later and provides support for HTTP/2, Servlet 4.0, and JSP 2.3. Tomcat 8 is compatible with Java SE 7 or later and provides support for Servlet 3.1 and JSP 2.3. Q: Can Tomcat 8 be used with Spring Framework? A: Yes, Tomcat 8 can be used with Spring Framework, which is a popular Java framework for building web applications. Spring provides integration with Tomcat through its Spring Boot framework. Q: How do I deploy a web application to Tomcat 8? A: Web applications can be deployed to Tomcat 8 by copying the application files to the webapps directory of the Tomcat installation. The web application can then be accessed through a web browser by entering the URL of the application. Q: What is the default port for Tomcat 8? A: The default port for Tomcat 8 is 8080. This can be changed by modifying the server.xml configuration file. Q: Is Tomcat 8 secure? A: Tomcat 8 is designed with security in mind and includes several security features such as SSL/TLS support, authentication and authorization, and access control. However, like any web server, it is important to properly configure and secure Tomcat to ensure the safety of the hosted applications and data.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值