【漏洞修复】Tomcat中间件漏洞

已于 2024-08-06 18:51:59 修改
阅读量137 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-08-06 18:50:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_70836100/article/details/140963421
版权

1.CVE-2017-12615

抓包上传一句话木马

密码passwd

2.后台弱口令部署war包

先用弱口令登录网站后台

制作war包

将172.jsp压缩成.zip文件,修改后缀为.war

上传

蚁剑链接

3.CVE-2020-1938

Python2 CVE-2020-1938.py IP -p 端口 -f 要读取的文件

漏洞修复:

  1. 更新到最新版本。
  2. 关闭AJP服务,修改Tomcat配置文件Service.xml,注释掉。
  3. 配置AJP配置中的secretRequired跟secret属性来限制认证。

实战挖洞:fofa

app=”tomcat”

server=”Apache Tomcat” && body=“Apache Tomcat”

识别:如何判断一个网站使用了tomcat中间件

  1. 默认端口8080
  2. 浏览器的指纹识别插件
  3. 默认管理路由 /manage/html
  4. Server头 Apache Tomcat
诶嘿੭ ᐕ)੭*⁾⁾
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入浅出带你学习Tomcat中间件常见漏洞__零开始信息安全技巧
程序员三九的博客
05-29 427
本文正在参加「金石计划 . 瓜分6万现金大奖」前言前文给大家带来了中间件漏洞,今天给大家带来的是中间件的常见漏洞,这也是一个应用非常广泛的中间件服务,下面会展开给大家讲解。
tomcat中间件漏洞复现
mingyqf的博客
02-14 3902
Apache Tomcat文件包含漏洞CVE-2020-1938 一、漏洞描述 Tomcat是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。 二、漏洞危害等级 高 三、影响版本 Apache Tomcat 6 Tomcat 7系列 <7.0.100 To
中间件漏洞 | tomcat
weixin_52116519的博客
10-08 673
Tomcat是运行在JVM中的一个进程。它定义为“中间件”,顾名思义是一个在Java项目与JVM之间的中间容器。Web项目的本质,是一大堆的资源文件和方法。Web项目没有入口方法(即main方法),这意味着Web项目中的方法不会自动运行起来。Web项目部署进Tomcatwebapp中的目的是很明确的,那就是希望Tomcat去调用写好的方法去为客户端返回需要的资源和数据。Tomcat可以运行起来,并调用写好的方法。那么,Tomcat一定有一个main方法。
中间件漏洞修复汇总
看着博客敲代码
07-29 2779
中间件漏洞修复汇总 1.Nginx文件解析漏洞漏洞等级:高危 漏洞描述: nginx文件解析漏洞产生的原因是网站中间键版本过低,可将任意文件当作php可执行文件来执行,可导致攻击者执行恶意代码来控制服务器。 漏洞危害: 机密数据被窃取; 核心业务数据被篡改; 网页被篡改; 数据库所在服务器被攻击变为傀儡主机,导致局域网(内网)被入侵。 修复方案: 升级中间件版本 部署Web应用防火墙 对数据库操作进行监控 修改php.ini文件,将cgi.fix_pathinfo的值设置为0; 在Nginx配置文件中
常见中间件——Tomcat漏洞复现分析
qq_45751902的博客
10-31 2957
(net命令的路径要写全,直接写net user,Tomcat控制台会提示net不是内部命令,也不是可运行的程序,另 必须使用+号连接,使用空格,%2B都会执行失败,控制台报错。,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操作系统上的潜在危险的CVE-2017-12615漏洞。访问 http://127.0.0.1:8080/manager/html ,输入弱口令tomcat/tomcat进入后台(弱口令可以进行爆破)
JBoss中间件漏洞总结1
08-03
为了保护系统免受JBoss中间件漏洞的影响,管理员应: 1. **保持更新**:及时升级到最新的JBoss版本,获取安全更新。 2. **安全配置**:正确配置EJB、JMX和其他服务,避免不必要的暴露。 3. **访问控制**:实施严格...
安全的http方法、CSRF等漏洞修复问题
01-07
安全的 HTTP 方法、CSRF 等漏洞修复问题 在本文中,我们将讨论不安全的 HTTP 方法、CSRF 漏洞等问题的修复方法。 一、敏感信息泄露 敏感信息泄露是指攻击者可以通过访问网站目录直接下载文件,进入别的网页,...
中间件安全-Tomcat安全测试概要
03-23
类似于Tomcat这种软件项目官方一般都维护了多个版本分支,一般新的产品特性会被更新在最新的大版本当中,而类似于修复bug及漏洞这种就会在旧版本的分支当中得以更新。这就允许开 Web安全中很重要的一个部分就是...
TOMCAT中间件TOMCAT服务器
12-16
TOMCAT中间件TOMCAT服务器】 Tomcat,全称Apache Tomcat,是由Apache软件基金会下属的Jakarta项目开发的一款开源免费的Java Servlet容器,它实现了Java Servlet和JavaServer Pages(JSP)规范,使得开发者能够...
Tomcat-7.0.78-x64 免安装版
01-05
安全方面,Tomcat 7.0.78修复了一些已知的安全漏洞,因此使用这个版本可以提高系统的安全性。不过,为了保持最佳的安全状态,建议定期检查并更新到最新版本,因为新的版本通常会包含对新发现威胁的修复。 总的来...
《密码编码学与网络安全原理与实践》第四章第六章第七章 对称加密体制
m0_57291352的博客
08-06 558
对称加密包括分组密码和流密码分组密码:信息被分块(block)进行加密和解密,连续的明文元素使用相同的密钥K来加密,密文C=c1c2…=EK(m1)EK(m2)…C =c_1c_2…=E_K(m_1)E_K(m_2)…C=c1​c2​…=EK​(m1​)EK​(m2​)…。分组密码可以看作是一个字符长度很大代换——如64比特或更多。大部分的分组对称密码都基于Feistel结构。可逆变换是必要条件。设计”安全”的密码算法不难,只要使用足够多的轮数就可以,但降低速度,因此所有问题就是平衡问题。流密码:流密码中按
C++在网络安全领域的应用
2302_79331124的博客
08-04 933
总的来说,C++在网络安全领域的应用广泛且深入。其高性能、灵活性和对底层硬件的控制使其成为开发各种安全解决方案的理想选择。随着网络安全威胁的不断演变,C++将继续在保护数字世界的过程中发挥重要作用。如果你对网络安全感兴趣,学习和掌握C++无疑将为你的技术发展方面提供强大的助力。
Gartner发布2024年网络风险管理成熟度曲线:使网络安全战略与业务目标保持一致的概念、方法、流程和技术
lurenjia404的博客
08-07 553
网络风险管理现在是高管和监管机构最关注的问题,它采用多种方法和技术来支持治理、风险管理和合规性。安全和风险管理领导者可以使用此技术成熟度曲线来评估解决方案并做出适当的采用决策。
【网络安全】探索AI 聊天机器人工作流程实现RCE
等风来
08-06 151
我发现了一个广泛使用的AI聊天机器人平台中的远程代码执行漏洞。该漏洞存在于聊天机器人的自定义工作流响应代码中,这些工作流允许开发人员通过创建定制的流程来扩展机器人的功能。
Web安全学习
荆鹏的博客
08-06 125
应用层:为用户为用户的应用进程提供网络通信服务协议——DNS协议、HTTP协议、HTTPS协议传输层:负责两台主机之间的数据传输,将数据从发送端传输到接收端协议——TCP协议、UDP协议网络层:负责传输的地址管理和路由选择,在众多复杂的网络环境中确定一条合适的路径协议——IP协议数据链路层:负责设备之间数据帧的传送和识别,将网络层传递的数据报封装成帧,在处于同一个数据数据链路节点的两个设备之间传输协议——ARP协议、MTU协议。
深度剖析网络安全挑战与应对策略
执笔写JAVA
08-03 811
“微软蓝屏”事件是由一次微软视窗系统软件更新引发的全球性网络安全事件,导致近850万台设备遭遇故障,波及多个关键行业,造成重大影响。本文从软件更新流程的风险管理和质量控制、预防大规模故障的最佳方案与应急响应对策,以及跨领域连锁反应的行业影响与应对三个方向,深入剖析了该事件所暴露的网络安全问题。文章指出,该事件凸显了软件更新流程中风险管理、质量控制、应急响应机制的不足,以及跨领域合作的重要性。为应对类似挑战,文章提出了加强风险管理、质量控制、应急响应和跨领域合作等全面应对策略。
waf绕过:网络安全狗绕过
最新发布
m0_71332744的博客
08-07 684
name='';//使用defun获取assert。
web安全】权限漏洞之未授权访问
qq_70836100的博客
08-04 834
漏洞修复:1.设置防火墙策略,限定 IP 访问服务。2.在admin.system.users中添加用户,启动认证。漏洞修复:1.修改绑定的IP、端口和指定访问者IP。步骤二:进入执行页面http://xxx.xxx.xxx.xxx:xxxx/manage/script/index.php。漏洞修复:1.禁止使用root权限启动redis服务。漏洞修复:1.为ZooKeeper配置相应的访问权限。漏洞修复:1.开启身份验证,防止未经授权用户访问。stat:列出关于性能和连接的客户端的统计信息。
网络安全入门教程(非常详细)从零基础入门到精通_网路安全 教程
2401_85023708的博客
08-03 855
1.入行网络安全这是一条坚持的道路,三分钟的热情可以放弃往下看了。2.多练多想,不要离开了教程什么都不会了,最好看完教程自己独立完成技术方面的开发。3.有时多百度,我们往往都遇不到好心的大神,谁会无聊天天给你做解答。4.遇到实在搞不懂的,可以先放放,以后再来解决。先科普划分一下级别(全部按小白基础,会写个表格word就行的这种)**1级:脚本小子;难度:无,**达到“黑客新闻”的部分水准(一分钱买iphone、黑掉母校官网挂女神照片什么的)网络安全工程师;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值