目录遍历漏洞及其解决方案-apache,tomcat

最新推荐文章于 2024-07-04 14:06:51 发布
最新推荐文章于 2024-07-04 14:06:51 发布
阅读量3.2w 收藏 16
点赞数 2
分类专栏: 网络安全 文章标签: 中间件 web漏洞 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skystephens/article/details/86611796
版权

一. 什么是目录遍历漏洞

目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。

二. 目录遍历漏洞原理

程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。

整改方法

1.Tomcat

修改conf/web.xml

将true 改为false 重启tomcat即可

2.apache

1、在服务器端,打开Apache配置文件C:\Program Files\phpStudy\Apache\conf\httpd.conf 

  2、在httpd.conf文件中找到   Options +Indexes +FollowSymLinks +ExecCGI  并修改成   Options -Indexes+FollowSymLinks +ExecCGI  并保存;

  技术分享图片

  3、重新启动phpstudy

SifzX
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Tomcat 文件包含漏洞(CNVD-2020-10487)修复方法
程序员的笔记
02-24 5182
Apache Tomcat 文件包含漏洞(CNVD-2020-10487)修复有以下方法: 1.版本升级,截至2020-2-24,官方公布的已修复该漏洞版本包括: Apache Tomcat 7.0.100Apache Tomcat 8.5.51Apache Tomcat 9.0.31 2.关闭AJPConnector: 修改conf/server.xml配置文件的,删除或注释掉这一行,修...
Spring框架中文件目录遍历漏洞 Directory traversal in Spring framework
BearFinn的博客
04-24 3035
Spring框架中文件目录遍历漏洞 Directory traversal in Spring framework 官方给出的描述是Spring框架中报告了一个与静态资源处理相关的目录遍历漏洞。某些URL在使用前未正确加密,使得攻击者能够获取文件系统上的任何文件,这些文件也可用于运行SpringWeb应用程序的进程。 受影响的版本: Spring Framework 3.0.4 to 3.2.11...
Web漏洞探索】目录遍历漏洞
mr__sheng的博客
09-08 505
由chroot创造出的那个根目录,叫做“chroot监狱”(指通过chroot机制来更改某个进程所能看到的根目录,即将某进程限制在指定目录中),保证该进程只能对该目录及其子目录的文件有所动作,从而保证整个服务器的安全。对用户传过来的文件名参数进行统一编码,将所有字符转换成url编码,这样服务器不会解析成../,对包含恶意字符或者空字符的参数进行拒绝。参数file的数据采用Base64加密,而攻击中只需要将数据进行相应的解密即可入侵,采用一些常见、规律性的加密方式也是不安全的。
Web 安全之路径遍历攻击详解
dzqxwzoe的博客
06-10 879
路径遍历攻击的核心原理在于利用目标系统处理用户输入时的不安全或疏忽行为,尤其是当应用程序接受用户提供的文件名或路径,并据此进行文件操作(如读取、写入或执行文件)时。攻击者会提交精心构造的恶意路径,其中包含了特殊的字符序列或编码,使得原本应该在限定目录下的文件操作跨越了预设边界,进而访问到服务器文件系统的其他位置。
如何解决 Apache Tomcat 目录遍历漏洞
热门推荐
gtlishujie的博客
07-11 1万+
APACHE 的   Options Indexes MultiViews  ← 找到这一行,将“Indexes”删除     ↓   Options MultiViews   ← 变为此状态(不在浏览器上显示树状目录结构) AllowOverride None Order allow,deny Allow from all TOMCAT修改conf/web.xml文件
Apache Tomcat 漏洞复现
来日可期的博客
09-08 4560
Tomcat7 弱密码和后端 Getshell 漏洞,Aapache Tomcat AJP任意文件读取/包含漏洞,通过 PUT 方法的 Tomcat 任意写入文件漏洞
网站路径遍历漏洞修复
最新发布
qq_33163046的博客
07-04 910
在当今的网络安全环境中,路径遍历漏洞(Path Traversal Vulnerability)成为日益关注的问题。此漏洞允许攻击者通过操控输入路径,访问未经授权的服务器文件,从而泄露敏感信息或执行恶意文件。本文将借助一次渗透测试修复的过程有效防止和修复此类漏洞,提升应用程序的整体安全性。
Tomcat 漏洞处理
歪比巴卜
03-01 505
要求不允许通过网址访问 Tomcat 的 example ,manager 等自带目录,我选择了最直接的办法,删除 Tomcatwebapps 目录下除了项目外的其它所有文件夹。即可使用 HTTPS 协议访问 网址,更规范的做法应该时是生成对应证书,见参考资料[2]。,注释掉下面的配置后重启 Tomcat。访问 Tomcat 时端口使用。修改 Tomcat 配置文件。修改 Tomcat 配置文件。,重启 Tomcat
IIS Nginx Apache Tomcat 中间件漏洞
qq_53742230的博客
07-11 586
IIS Nginx Apache Tomcat 中间件漏洞合集
Java代码审计之目录遍历漏洞详解
m0_71745754的博客
01-13 5671
通过用户输入,后端接收到参数直接拼接到指定路径下读取用户的文件名,看似正常,但是用户输入的参数不可控制,黑客将非法的特殊字符作为文件名的一部分,操作到其他路径下,甚至是跳转到服务器敏感目录,读取敏感的配置文件,例如服务器的密码文件,程序数据库,redis等核心配置文件,因此具有一定的风险;
01-阿里云标准-Apache Tomcat 安全基线检查
03-25
阿里云标准-Apache Tomcat 安全基线检查 Apache Tomcat 是一个流行的开源Web服务器和Servlet容器,但是在实际应用中,如果不遵循安全基线,可能会导致安全隐患。阿里云标准-Apache Tomcat 安全基线检查旨在帮助用户...
Apache Flink目录遍历(CVE-2020-17519)批量检测脚本
09-24
2021年1月5日,Apache Flink官方发布安全更新,修复了由蚂蚁安全非攻实验室发现提交的2个高危漏洞漏洞之一就是Apache Flink目录遍历漏洞(CVE-2020-17519)。 Flink核心是一个流式的数据流执行引擎,其针对数据流的...
Apache Flink目录遍历(CVE-2020-17519)单目标检测工具
09-24
2021年1月5日,Apache Flink官方发布安全更新,修复了由蚂蚁安全非攻实验室发现提交的2个高危漏洞漏洞之一就是Apache Flink目录遍历漏洞(CVE-2020-17519)。 Flink核心是一个流式的数据流执行引擎,其针对数据流的...
开发工具 apache-tomcat-8.0.41-windows-x86
05-31
开发工具 apache-tomcat-8.0.41-windows-x86开发工具 apache-tomcat-8.0.41-windows-x86开发工具 apache-tomcat-8.0.41-windows-x86开发工具 apache-tomcat-8.0.41-windows-x86开发工具 apache-tomcat-8.0.41-...
apache-tomcat-8.5.100.tar.gz
05-29
- 下载:首先从Apache官方网站下载"apache-tomcat-8.5.100.tar.gz"压缩文件。 - 解压:使用tar命令解压缩,例如`tar -zxvf apache-tomcat-8.5.100.tar.gz`。 - 配置环境变量:在系统环境变量中添加CATALINA_HOME...
修改openssl的版本号信息
安全解决方案
02-26 4744
一:修改openssl版本号 1.先查看openssl版本号,两个方法     [root@localhost ~]# ssh -V     [root@localhost ~]# openssl version      2.查看openssl所在位置    [root@localhost ~]# which openssl    3.查看保存版本号的libcrypto.so所在...
Aix安装openssh,openssl
安全解决方案
03-17 3756
AIX 小型机安装ssh服务,此前一直是使用Telnet 服务进行维护,目前进行等保测评,没有办法只能把openssh安装上,关掉Telnet服务 1.上传OpenSSH_7.5.102.1500.tar.Z + openssl-1.0.2.1500.tar.Z到目标服务器上,解压两个软件包。 2.解压包---先安装openssl uncompress openssl-1.0.2.1...
Webug3.0 初级攻略 1-16关
安全解决方案
02-27 2588
虚拟机下载路径: 链接:https://pan.baidu.com/s/19234CirAiVf3H820uWWNeg  提取码:7jfs  第一关:很简单的一个注入   使用firefox 可以使用一个叫hackbar的插件,方便注入语句的测试 1.提交 ' 报错,可能存在注入点   还是一个字符型的注入漏洞 测试语句:http://172.27.73.13/pentes...
详细介绍一下tomcat目录遍历漏洞(CVE-2020-1938)
04-29
Tomcat 目录遍历漏洞(CVE-2020-1938)是一种文件包含漏洞,影响 Apache Tomcat 服务器的 AJP 协议。 AJP 协议(Apache JServ Protocol)是 Apache HTTP Server 与 Tomcat 之间通信的一种协议,可以通过 mod_jk、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值