配置Apache tomcat拦截&AJP协议&CVE-2020-1938&修复

已于 2023-12-21 13:13:03 修改
阅读量431 收藏
点赞数
分类专栏: apache漏洞合集-亲测 文章标签: tomcat linux web web.xml ssh 网络安全
于 2022-02-23 17:39:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42430287/article/details/124441614
版权
CVE-2020-1938

1.禁用8009端口

2.禁用ajp协议

\Jboss\jboss-as-distribution-6.1.0.Final\jboss-6.1.0.Final\server\default\deploy\jbossweb.sar

server.xml   注释下面

 <!-- <Connector protocol="AJP/1.3" port="${jboss.web.ajp.port}" address="${jboss.bind.address}"
         redirectPort="${jboss.web.https.port}" /> -->

3.升级tomcat

tomcat拦截

在tomcat-users.xml文件中设置

<role rolename="tomcat"/>
 <user username="admin(账号)" password="admin(密码)" roles="tomcat"/>

在web.xml文件中设置

<!--以下为登录配置-->
    <security-constraint>
        <web-resource-collection>
            <display-name>Example Security Constraint</display-name>
            <web-resource-name>My Test</web-resource-name>
            <!--如果仅对项目中某些内容添加登录拦截,则这里具体配置到
               内容的目录下,如果对所有的进行拦截,则直接写*-->
            <url-pattern>/1.html</url-pattern>
        </web-resource-collection>
        <auth-constraint>
           <!--这里是前边tomcat-users.xml里配置的角色名,如果多个,
             则配置多个role-name标签即可-->
           <role-name>tomcat</role-name>
        </auth-constraint>
    </security-constraint>
<login-config>
    <!--tomcat登录拦截有两种,一种BASIC,另一种为FORM,本文里最上边的那种弹窗即是BASIC-->
    <auth-method>BASIC</auth-method>
    <realm-name>My Test</realm-name>
</login-config>
Bolgzhang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于TomcatAJP端口禁用.docx
04-08
安全加固Tomca漏洞,禁用AJP接口。
Tomcat如何象Apache一样屏蔽IP访问
跑马灯的专栏
10-15 1806
        通过网站日志,发现124.115.0.*频繁的访问网站,像是爬虫,或者机器人,比Google的检测机器人多几十倍,虽然没有造成网络资源紧张,但是很不爽,决定对该IP段对进行屏蔽。         网站使用Tomcat作为应用服务器,Tomcat+APR已经具备了Apache的静态资源访问性能,因此没有在Tomcat前端添加Apache,屏蔽的方法需要通过Tomcat来实现(应用
Springboot中tomcat配置、三大组件配置拦截配置
程序三两行
12-06 1025
原文地址:http://www.javayihao.top/detail/172 1.tomcat配置 Springboot默认使用的就是嵌入式servlet容器即tomcat,对于web项目,如果使用的是外部tomcat,相关配置比如访问端口、资源路径等可以在tomcat的conf文件下配置。但是在boot中,tomcat配置又两种方式 第一种:通过配置文件直接配置(推荐) #如果是...
Tomcat优化禁用AJP协议
03-22 1201
https://blog.csdn.net/wang_chao_yang/article/details/106653502
100分布式电商项目 - Tomcat性能优化(禁用AJP连接器)
阿甘兄
07-22 1999
项目中一般使用Nginx+tomcat的架构, 所以用不着AJP协议,一般我们可以把AJP连接器禁用,这样有利于提高Tomcat的性能。 在管理界面中看不到ajp了: 补充知识: AJPApache JServer Protocol) AJPv13协议是面向包的。WEB服务器和Servlet容器通过TCP连接来交互;为了节省SOCKET创建的昂贵代价,WEB服务器会尝试维护一个永久TCP连接...
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
# CVE-2020-1938 Apache Tomcat 文件包含 影响版本: Tomcat6-9 Exp: ``` python CNVD-2020-10487-Tomcat-Ajp-lfi.py x.x.x.x -p 8009 -f urfile 一. 漏洞概述 2月20日,国家信息安全漏洞共享平台(CNVD)...
CVE-2020-1938.zip
04-15
CVE-2020-1938Apache Tomcat AJP协议远程代码执行漏洞】 CVE-2020-1938Apache Tomcat服务器中的一个严重安全漏洞,该漏洞允许攻击者通过AJPApache JServ Protocol)接口来实现远程代码执行,从而对目标系统...
pinohans#pinohans.github.io#Apache-Tomcat-Ajp文件包含CVE-2020-19381
07-25
漏洞简介Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp
CVE-2020-1938:CVE-2020-1938
03-20
CVE-2020-1938 工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果由用户负责 通过测试研究发现,该突破危害及其严重,涉及非常广泛,如果发现建议立即进行修复 apache-tomcat-8.5.32.zip测试...
Tomcat配置敏感信息屏蔽
最新发布
qq_42051115的博客
09-15 1279
一、tomcat敏感信息屏蔽 tomcat的错误信息会吧一些敏感信息给暴露出来比如版本号。 解决方案 在tomcat的conf文件下配置server.xml的 < Host > 标签 <Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" /> 配置说明 showReport:如果发生错误用于返回错误页面的错误信息和状态码(
快速入门:两分钟带你从 0 开始手写一个Tomcat
12-10 215
前言 Tomcat,这只3脚猫,大学的时候就认识了,直到现在工作中,也常会和它打交道。这是一只神奇的猫,今天让我来抽象你,实现你! Tomcat是非常流行的Web Server,它还是一个满足Servlet规范的容器。那么想一想,Tomcat和我们的Web应用是什么关系? 从感性上来说,我们一般需要把Web应用打成WAR包部署到Tomcat中,在我们的Web应用中,我们要指明URL被哪个类的哪个方法所处理(不论是原始的Servlet开发,还是现在流行的Spring MVC都必须指明)。 由于我们的Web.
tomcat拦截特殊字符处理 springboot https和http双协议
嘟嘟技术
06-11 1126
springboot https http 高版本tomcat拦截特殊字符处理
tomcat8.5.30之后拦截特殊字符解决办法
u010509143的专栏
05-28 973
tomcat8.5.30之后拦截特殊字符解决办法 Tomcat8.5.30之后的版本,参数中有特殊字符的话会报错,直接返回400 Note: further occurrences of HTTP header parsing errors will be logged at DEBUG level. java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters
TOMCAT优化禁用AJP协议
HHW223的博客
09-25 2376
TOMCAT优化禁用AJP协议 在登陆tomcat在服务状态页面中可以看到,默认状态下启用AJP服务,并且占用了8009端口。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VuPdDRGl-1632534839328)(https://www.freesion.com/images/0/55ea118ebb774026df95e21c17c58ac8.png)] 什么是AJPAJPApache JServer Protocol) AJPv13协议是面向包的。web服务
CVE-2020-1938-Tomcat漏洞复现
AmyBaby00的博客
06-30 577
CVE-2020-1938-Tomcat漏洞复现步骤: 1、漏洞简介 2、环境搭建 3、启动镜像、并访问Tomcat页面,查看环境搭建成功与否 4、漏洞验证 1、漏洞简介: Tomcat默认开启AJP服务(8009端口),存在一处文件包含缺陷。 攻击者可以通过构造的恶意请求包来进行文件包含操作,从而读取有漏洞的Tomcat服务器上Web目录文件。 2、环境搭建: 使用docker拉取 docker...
Java安全-Tomcat AJP 文件包含漏洞(CVE-2020-1938)幽灵猫漏洞复现
Love&Share
11-07 2610
Tomcat AJP 文件包含漏洞(CVE-2020-1938CVE-2020-1938 又名GhostCat ApacheTomcat服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat 上所有 webapp 目录下的任意文件 该漏洞是一个单独的文件包含漏洞,依赖于 TomcatAJP(定向包协议)。AJP 自身存在一定缺陷,由于Tomcat在处理AJP请求时,未对请求做任何验证,通过设置AJP连接器封装的request对象的属性, 导致产生任意文件读取漏洞和代码执行漏洞 .
文件包含漏洞--Apache TomcatCVE-2020-1938
weixin_44940180的博客
08-19 500
Apache Tomcat存在文件包含漏洞 该漏洞是由于Tomcat AJP协议存在缺陷而导致 攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件 若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。 影响范围 受影响版本 Apache Tomcat 6 Apache Tomcat 7 < 7.0.100 Apache Tomcat 8 < 8.5.51 Apache Tomcat 9 < 9.0.31 不受影响版本 Apache Tomcat
详细介绍一下tomcat的目录遍历漏洞(CVE-2020-1938
04-29
Tomcat 目录遍历漏洞(CVE-2020-1938)是一种文件包含漏洞,影响 Apache Tomcat 服务器的 AJP 协议AJP 协议Apache JServ Protocol)是 Apache HTTP Server 与 Tomcat 之间通信的一种协议,可以通过 mod_jk、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值