Tomcat 漏洞处理

已于 2024-03-01 14:49:33 修改
阅读量419 收藏 1
点赞数 3
分类专栏: 其它 文章标签: tomcat java
于 2024-03-01 14:24:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42651415/article/details/136395235
版权

1.目录遍历

要求不允许通过网址访问 Tomcat 的 example ,manager 等自带目录,我选择了最直接的办法,删除 Tomcat 中 webapps 目录下除了项目外的其它所有文件夹。

2.Tomcat AJP

修改 Tomcat 配置文件 /root/apache-tomcat-7.0.109/conf/server.xml,注释掉下面的配置后重启 Tomcat。

<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector protocol="AJP/1.3"
            address="::1"
            port="8009"
            redirectPort="8443" />

3.HTTP 协议

3.1 生成密钥对

# 生成密钥对 
keytool -genkeypair -alias "localhost" -keyalg "RSA" -keystore "/root/apache-tomcat-7.0.109/ssl/tomcat.keystore" -validity 36500
# 选项填写
=====================================================================================
密码:root.2023
名称与姓氏:localhost
组织单位:test
组织名称:test
城市:shenyang
省:liaoning
国家:cn
======================================================================================
# 查看密钥对
keytool -list -v -keystore "/root/apache-tomcat-7.0.109/ssl/tomcat.keystore"

3.2 配置 Tomcat

修改 Tomcat 配置文件 /root/apache-tomcat-7.0.109/conf/server.xml,重启 Tomcat。

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="/root/apache-tomcat-7.0.109/ssl/tomcat.keystore"
               keystorePass="root.2023"
               clientAuth="false" sslProtocol="TLS" />

访问 Tomcat 时端口使用 8443 即可使用 HTTPS 协议访问 网址,更规范的做法应该时是生成对应证书,见参考资料[2]。

3.3 keytool 命令详情

 -certreq            生成证书请求
 -changealias        更改条目的别名
 -delete             删除条目
 -exportcert         导出证书
 -genkeypair         生成密钥对
 -genseckey          生成密钥
 -gencert            根据证书请求生成证书
 -importcert         导入证书或证书链
 -importpass         导入口令
 -importkeystore     从其他密钥库导入一个或所有条目
 -keypasswd          更改条目的密钥口令
 -list               列出密钥库中的条目
 -printcert          打印证书内容
 -printcertreq       打印证书请求的内容
 -printcrl           打印 CRL 文件的内容
 -storepasswd        更改密钥库的存储口令

4. 参考资料

[1] Keytool入门教程:命令详解 - MyBatis中文官网

[2] https解决方案-利用keytool生成证书_keytool -import 安装证书-CSDN博客

Uanmo
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcat漏洞处理.zip
05-15
tomcat漏洞处理.zip
apache-tomcat漏洞处理
weixin_51611396的博客
07-07 209
在等保公司扫出服务器上有tomcat漏洞,基本上都是tomcat版本过低导致tomcat漏洞出现,解决方法就是升级tomcat版本。
Tomcat漏洞详解
m0_64481831的博客
03-06 1411
Tomcat是一种轻量级的web服务器,主要负责运行jsp和Servlet具有任意文件写入漏洞:主要影响7.0-7.8左右,原因是因为配置不当问题(conf/web.xml文件的readonly参数定义为false),导致可以使用PUT方法进行任意文件上传。jsp绕过方法有斜杠绕过、空格绕过和::$DATA绕过(后两者都需要在Windows下)具有文件包含漏洞:主要影响6和8版本,7和9版本有少数;原因是因为AJP协议存在缺陷而导致攻击者可以构造任意参数来进行任意文件包含和读取文件。
Tomcat漏洞复现
Bird&Bird
12-28 5202
目录一、漏洞描述二、影响范围三、漏洞分析四、环境搭建五、漏洞复现 一、漏洞描述 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,其中就有远程代码执行漏洞(CVE-2017-12615)。当存在漏洞Tomcat 运行在 Windows 主机上,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 的webshell文件,JSP文件中的恶意代码将能被服务
Tomcat 漏洞复现笔记
未完成的歌~的博客
03-19 5827
Tomcat 简介 Tomcat 是一个开源的轻量级 Web 应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试 Java 程序的首选。 实际上 Tomcat 是 Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行 tomcat 时,它实际上作为一个与 Apache 独立的进程单独运行的。 Apache 为 HTML 页面服务,Tomcat 主要运行 JSP 页面和 Servlet。另外,Tomcat 和 IIS 等 Web 服务器一样,具有处理 HTML 页面的.
腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞
09-25
9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取...
基线扫描漏洞整改参考文档_jchaoy
07-28
本文仅包含nginx、websphere、tomcat供3类中间件基线整改方法,其中nginx的5大基线扫描漏洞tomcat的11大漏洞、was的7大漏洞的整改方法。
tomcat 7.0.30 web服务器
09-10
Tomcat7服务器web开发 Tomcat和IIS、Apache等Web服务器一样,具有处理HTML页面的功能,另外它还是一个Servlet和JSP容器,独立的Servlet容器是Tomcat的默认模式。
tomcat6、7、8、9, maven3.5
06-27
Alpha / Beta /Stable ...一个新的主要版本的初始...Apache Tomcat 3.1的用户应该更新到3.1.1以关闭安全漏洞,强烈建议他们迁移到当前的生产版本Apache Tomcat 3.3。 的Apache Tomcat 3.0.x的。初始Apache Tomcat版本。
spring boot由于mapper文件中对象类型使用短名称无法注册bean而自动注入失败问题
最新发布
左直拳的马桶_日用桶
05-16 42
前几天项目组准备使用若依框架,但编译其后台(spring cloud项目),死活运行不了,总是提示mybatis对象无法注入。 无法注入的原因,是没有相应的bean,既无法构造对应的mybatis对象。后来同事告诉我,是因为mapper.xml里的对象类型使用了简写,而配置文件缺乏相应配置项的缘故。详细如下:SysConfigMapper.xml,可见其中的type只写了一个简短的类名,而不是完整的,带有包名的类名。 对比我们平时习惯的写法: 对于mapper中数据对象类型使用简短名称的做法,配置文件需要将
tomcat--应用部署
m0_65342309的博客
05-16 827
http://localhost/docs/ 对应于forum的应用WebApp,即/usr/local/apache-tomcat-8.5.100/webapps/docs/http://localhost/ 对应于eshop的应用WebApp,即/usr/local/apache-tomcat-8.5.100/webapps/ROOT/目录,/usr/local/apache-tomcat-8.5.100/webapps下面的每个目录对应的WebApp,可能有以下子目录,但下面子目录是非必须的。
Linux基于Tomcat构建Java web环境操作流程
mark4541437的博客
05-16 252
如果界面跳转至默认的Tomcat界面,证明Java Web环境搭建完成。就可以在公网访问云服务器的8080端口了。• 登录弹性云服务器,执行如下命令,新建jdk目录和tomcat目录。为云服务器添加web项目分配端口的访问规则,例如8080端口为例。• 使用wget命令直接下载安装包至云服务器。http://云服务器弹性公网IP:8080。验证Java Web环境搭建完成。• 设置弹性云服务器安全组规则。• 在浏览器输入以下内容。• 安装tomcat
实践指南:如何将 SpringBoot 项目无缝部署到 Tomcat 服务器
DC1020的博客
05-08 1067
SpringBoot 是一个用来简化 Spring 应用初始搭建以及开发过程的框架,我们可以通过内置的 Tomcat 容器来轻松地运行我们的应用。但在生产环境中,我们可能需要将应用部署到独立的 Tomcat 服务器上。本文给大家介绍 SpringBoot 项目部署到独立 Tomcat 服务器的操作流程。
【Linux】Linux——Centos7安装Tomcat
wisbhxnhsj的博客
05-10 329
注意:现在还 usr 下,要切换到 usr/local/
SpringBoot项目中关于Tomcat的可配置主要参数
十三月的博客
05-16 3
Apache Tomcat 是一个开源的服务器软件,它的主要作用是提供一个环境,用于执行使用 Java 技术(如 Servlet、JavaServer Pages (JSP)、Java WebSocket)编写的 Web 应用程序。:Tomcat 提供了 Servlet 容器,用于加载、解析和执行 Servlet 和 JSP 页面。Servlet 和 JSP 页面是用于构建动态 Web 网站的主要技术,而 Tomcat 则提供了执行这些技术的环境。
Tomcat与JDK各版本的兼容性
qq_72758246的博客
05-16 110
Tomcat和JDK之间的兼容性通常取决于Tomcat的版本和JDK的版本。
Mybatis快速入门指南
m0_74749208的博客
05-16 540
在现代的 Java 开发中,持久层框架是不可或缺的一部分。MyBatis 是一个优秀的持久层框架,它简化了数据库操作,提供了强大的 SQL 控制能力。本篇博客将带你快速入门 MyBatis,让你快速上手并开始使用这个强大的框架。Mybatis主要对jdbc代码进行了优化:1.硬编码 -> 配置文件可维护性:将数据库连接信息、SQL语句等从代码中硬编码改为配置文件中配置,使得配置更易于修改和管理,降低了修改配置的风险。在项目部署时候,可以不重新部署的情况下,进行配置的修改。灵活性。
MyBatis-Plus 2万字面试题详解
linweidong的专栏
05-16 224
MyBatis-Plus 是 MyBatis 框架的一个增强工具,它在 MyBatis 的基础上提供了一些额外的功能,旨在简化 CRUD(创建、读取、更新、删除)操作的编写,提高开发效率。MyBatis-Plus 通过扩展 MyBatis,提供了一个更加简洁的 API 接口,使得开发者可以更加方便地进行数据库操作。它支持自定义 SQL,继承 MyBatis 的所有特性,同时加入了一些新的功能,如自动填充、逻辑删除、乐观锁等。定义实体类字段:根据数据库表的结构,定义实体类的所有字段。使用注解标注实体类。
tomcat 逻辑攻击类型:拒绝服务_Apache Tomcat拒绝服务漏洞通告
05-17
Apache Tomcat存在多个拒绝服务漏洞,攻击者可以利用这些漏洞来对Tomcat服务器进行逻辑攻击造成拒绝服务。 其中一种常见的攻击类型是通过发送大量恶意请求来占用服务器资源,导致Tomcat无法正常响应合法请求,从而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值