Tomcat 漏洞处理

已于 2024-03-01 14:49:33 修改
阅读量655 收藏 1
点赞数 3
分类专栏: 其它 文章标签: tomcat java
于 2024-03-01 14:24:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42651415/article/details/136395235
版权

1.目录遍历

要求不允许通过网址访问 Tomcat 的 example ,manager 等自带目录,我选择了最直接的办法,删除 Tomcat 中 webapps 目录下除了项目外的其它所有文件夹。

2.Tomcat AJP

修改 Tomcat 配置文件 /root/apache-tomcat-7.0.109/conf/server.xml,注释掉下面的配置后重启 Tomcat。

<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector protocol="AJP/1.3"
            address="::1"
            port="8009"
            redirectPort="8443" />

3.HTTP 协议

3.1 生成密钥对

# 生成密钥对 
keytool -genkeypair -alias "localhost" -keyalg "RSA" -keystore "/root/apache-tomcat-7.0.109/ssl/tomcat.keystore" -validity 36500
# 选项填写
=====================================================================================
密码:root.2023
名称与姓氏:localhost
组织单位:test
组织名称:test
城市:shenyang
省:liaoning
国家:cn
======================================================================================
# 查看密钥对
keytool -list -v -keystore "/root/apache-tomcat-7.0.109/ssl/tomcat.keystore"

3.2 配置 Tomcat

修改 Tomcat 配置文件 /root/apache-tomcat-7.0.109/conf/server.xml,重启 Tomcat。

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="/root/apache-tomcat-7.0.109/ssl/tomcat.keystore"
               keystorePass="root.2023"
               clientAuth="false" sslProtocol="TLS" />

访问 Tomcat 时端口使用 8443 即可使用 HTTPS 协议访问 网址,更规范的做法应该时是生成对应证书,见参考资料[2]。

3.3 keytool 命令详情

 -certreq            生成证书请求
 -changealias        更改条目的别名
 -delete             删除条目
 -exportcert         导出证书
 -genkeypair         生成密钥对
 -genseckey          生成密钥
 -gencert            根据证书请求生成证书
 -importcert         导入证书或证书链
 -importpass         导入口令
 -importkeystore     从其他密钥库导入一个或所有条目
 -keypasswd          更改条目的密钥口令
 -list               列出密钥库中的条目
 -printcert          打印证书内容
 -printcertreq       打印证书请求的内容
 -printcrl           打印 CRL 文件的内容
 -storepasswd        更改密钥库的存储口令

4. 参考资料

[1] Keytool入门教程:命令详解 - MyBatis中文官网

[2] https解决方案-利用keytool生成证书_keytool -import 安装证书-CSDN博客

tomcat 7 最新版本 apache-tomcat-7.0.109
07-07
tomcat 7 最新版本 apache-tomcat-7.0.109
Tomcat禁止目录浏览
saihoo(天涯)的专栏
07-02 2346
tomcat的/conf/web.xml中将listings  改为false
推荐文章:拥抱Apache Tomcat 7.0.109,打造稳健的Java Web应用基石
最新发布
gitblog_09701的博客
09-06 343
推荐文章:拥抱Apache Tomcat 7.0.109,打造稳健的Java Web应用基石 apache-tomcat-7.0.109-latest.zip项目地址:https://gitcode.com/open-source-toolkit/ea0c1 随着Web应用的发展日新月异,拥有一个可靠、高效的服务器端解决方案至关重要。今天,我们要向大家隆重推荐的是Apache Tomcat 7....
Apache Tomcat任意文件上传漏洞(CVE-2017-12615)
午夜安全
03-24 2万+
Apache Tomcat任意文件上传漏洞(CVE-2017-12615) 漏洞编号 CVE-2017-12615 影响范围 Apache Tomcat 7.0.0 – 7.0.81 漏洞描述 Windows上的Apache Tomcat如果开启PUT方法(默认关闭),则存在此漏洞,攻击者可以利用该漏洞上传JSP文件,从而导致远程代码执行。 漏洞利用 (1)开启PUT方法 默认情...
目录遍历漏洞
qq_2411772106的博客
07-18 878
0x001 漏洞简介 目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。 0x002 漏洞原理 目录遍历漏洞原理比较简单,就是程序在实现上没有充分过滤用户输入的…/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。这里的目录跳转符可以是…/,也可是…/的ASCII编码或者是unicode编码等。
【Web漏洞探索】目录遍历漏洞
mr__sheng的博客
09-08 777
由chroot创造出的那个根目录,叫做“chroot监狱”(指通过chroot机制来更改某个进程所能看到的根目录,即将某进程限制在指定目录中),保证该进程只能对该目录及其子目录的文件有所动作,从而保证整个服务器的安全。对用户传过来的文件名参数进行统一编码,将所有字符转换成url编码,这样服务器不会解析成../,对包含恶意字符或者空字符的参数进行拒绝。参数file的数据采用Base64加密,而攻击中只需要将数据进行相应的解密即可入侵,采用一些常见、规律性的加密方式也是不安全的。
tomcat漏洞处理.zip
05-15
Tomcat漏洞处理详解》 在信息技术领域,服务器的安全性是至关重要的,而Apache Tomcat作为一款广泛应用的Java Servlet容器,其安全性问题更是备受关注。本文将深入探讨Tomcat漏洞处理的相关知识,帮助读者理解并...
Tomcat-8.5.28 无漏洞
03-05
在本文中,我们将深入探讨Tomcat 8.5.28这一特定版本,以及它如何修复了一个安全限制绕过漏洞。 标题中的"Tomcat-8.5.28 无漏洞"意味着该版本已经对已知的安全问题进行了修补,确保了用户的服务器不会受到这些漏洞...
tomcat漏洞大杂烩1
08-03
【标题】:“Tomcat漏洞大杂烩1” 【描述】:描述中提到的是一些关于Tomcat服务器的安全问题,特别是Windows环境下的一些限制以及NTFS流的特性。在Windows系统下,文件名不允许以空格结尾,这是一个操作系统级别的...
tomcat 8.5.100
04-10
- **更好的错误处理**:新的错误页面机制可以提供更详细的错误报告,有助于调试。 - **更好的目录结构**:优化了目录结构,使得配置和维护更为直观。 2. **安装与配置**: - **下载**:可以从Apache官方网站下载...
目录遍历漏洞原理、解决方案
qq_44005305的博客
03-10 7271
目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。
Tomcat HTTP协议与AJP协议
z69183787的专栏
07-25 1万+
https://blog.csdn.net/jeikerxiao/article/details/82745516 Tomcat HTTP协议与AJP协议 HTTP Connector AJP Connector 配置 Tomcat在server.xml中配置了两种连接器。 HTTP Connector 拥有这个连接器,Tomcat才能成为一个web服务器,但还额外可处理Servlet和jsp...
2021-06-21
u012382509的博客
06-21 711
web中间件常见漏洞一、IIS1.PUT漏洞介绍及成因:PUT漏洞修复2.短文件名猜解漏洞介绍及成因漏洞修复3、远程代码执行漏洞介绍及成因:漏洞修复4、解析漏洞介绍及成因:IIS6.0漏洞复现:利用方式1:IIS6.0漏洞复现:利用方式2IIS7.5 文件解析漏洞:漏洞修复:二、 Apache1、解析漏洞介绍及成因:介绍成因情况1:情况2:Apache文件解析漏洞的防御2.目录遍历漏洞介绍及成因Apache目录遍历漏洞修复Tomcat目录遍历漏洞修复三、nginx1.nginx解析漏洞介绍成因漏洞修复2.n
目录遍历漏洞及其解决方案-apache,tomcat
热门推荐
rm -rf /*
01-23 3万+
一. 什么是目录遍历漏洞 目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。 二. 目录遍历漏洞原理 程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上...
Tomcat从低版本切换到7.0.109版本启动失败的诸多问题处理办法
yueluwuhen的博客
03-24 1232
解决Windows系统下通过服务启动Tomcat一直报错PermGen space的问题
Tomcat漏洞修复步骤详解
"Tomcat漏洞处理方法" 在网络安全领域,及时修复软件漏洞至关重要,尤其是对于像Apache Tomcat这样的流行Java应用服务器。Apache Tomcat是许多企业级应用的基础,因此确保其安全性是运维工作的重要部分。本资源主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值