Apache2月9日邮件:Tomcat请求漏洞(Request Smuggling)

最新推荐文章于 2024-01-17 15:12:05 发布
最新推荐文章于 2024-01-17 15:12:05 发布
阅读量277 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33743248/article/details/85018267
版权

官方邮件原文:

http://mail-archives.apache.org/mod_mbox/www-announce/201502.mbox/%3C54D87A0F.7010400@apache.org%3E

CVE编码:CVE-2014-0227

漏洞名称:Request Smuggling
危害程度:重要!
影响的版本包括:
- - Apache Tomcat 8.0.0-RC1 to 8.0.8
- - Apache Tomcat 7.0.0 to 7.0.54
- - Apache Tomcat 6.0.0 to 6.0.41
漏洞描述:

通过在chucked请求中包含一个非正常的chunk数据有可能导致Tomcat将该请求的部分数据当成一个新请求。

解决办法:

(受到影响的用户应尽快升级Tomcat软件到下列版本)

- - Upgrade to Apache Tomcat 8.0.9 or later
- - Upgrade to Apache Tomcat 7.0.55 or later
- - Upgrade to Apache Tomcat 6.0.43 or later

(6.0.42 contains the fix but was not released)

weixin_33743248
关注
主机扫漏:jQuery 跨站脚本漏洞修复建议 | 升级tomcat服务解决Apache Tomcat 环境问题漏洞(CVE-2023-46589)【安装多个tomcat服务】
iOS逆向与安全
05-13 1077
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://lists.apache.org/thread/0rqq6ktozqc42ro8hhxdmmdjm1k1tpxr。Apache Tomcat存在环境问题漏洞,该漏洞源于存在不正确的输入验证漏洞,可能会导致将单个请求视为多个请求,从而在反向代理后面出现请求走私。
Apache Tomcat 文件包含漏洞(CNVD-2020-10487)修复方法
程序员的笔记
02-24 5255
Apache Tomcat 文件包含漏洞(CNVD-2020-10487)修复有以下方法: 1.版本升级,截至2020-2-24,官方公布的已修复该漏洞版本包括: Apache Tomcat 7.0.100Apache Tomcat 8.5.51Apache Tomcat 9.0.31 2.关闭AJPConnector: 修改conf/server.xml配置文件的,删除或注释掉这一行,修...
Tomcat 全系报新的安全漏洞
weixin_34405332的博客
06-02 328
Tomcat 全系报 DoS 拒绝服务和信息暴露漏洞,包括: CVE-2014-0075 Denial of Service Severity: Important Vendor: The Apache Software Foundation Versions Affected: - Apache Tomcat 8.0.0-RC1 to 8.0.3...
tomcat 漏洞集合
qq_53229503的博客
09-02 7622
tomcat 漏洞集合
Apache Tomcat全系再曝严重安全漏洞 (转)
frank1998819
05-28 2312
Apache Tomcat全系产品再次爆出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞。 1. CVE-2014-0095:DoS(拒绝服务)漏洞如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。受影响版本:Apache Tomcat 8.0.0-RC2~8.0.32. CVE-2014-0075:DoS(拒绝服务...
Tomcat 全系报请求漏洞 CVE-2014-0227
weixin_33720956的博客
06-06 431
CVE-2014-0227 Request Smuggling 危害程度:重要! 影响的版本包括: Apache Tomcat 8.0.0-RC1 to 8.0.8 Apache Tomcat 7.0.0 to 7.0.54 Apache Tomcat 6.0.0 to 6.0.41 漏洞描述: chucked 请求包含一个受损的 chunk 可能导...
http-request-smuggling:HTTP请求走私检测工具
05-04
HTTP请求走私检测工具 HTTP请求走私是一种高度严重的漏洞,该技术是攻击者通过模糊的HTTP请求走私以绕过安全控制并获得未经授权的访问权以执行恶意活动,该漏洞是在2005年由发现的,并于2019年8重新发现。由发现,并在和,要了解有关此漏洞的更多信息,可以在查阅其文献充分的研究博客。 因此,此安全工具背后的想法是针对给定主机检测HRS漏洞,并根据具有给定排列的时间延迟技术进行检测,因此,要进一步了解此工具,我强烈建议您阅读有关以下内容的文章:这个工具。 技术概述 该工具是使用python编写的,要使用此工具,您必须在本地计算机上安装python 3.x版本。 它采用您需要在文本文件中提供的一个URL或URL列表的输入,并且通过遵循HRS漏洞检测技术,该工具具有内置的有效负载,该负载具有大约37个排列的CL.TE和TE.CL及其对于每个给定的主机,将使用这些有效负载来生成攻击请求对象,
请求走私(HTTP Request Smuggling)
Au
08-21 2893
待补充
BP靶场:HTTP request smuggling HTTP请求走私携带
A_IRan的博客
04-07 478
BP靶场Lab10分钟左右不操作就可能会释放。修改HTTP协议的地方,V2022.3.9版本在最右边的侧边栏,其他版本也可以在附近位置找一下。Lab的注意内容和提示内容,很有可能是没有修改HTTP协议导致无法通过。一定要将HTTP/2协议,修改为HTTP/1协议。这点很重要,HTTP/2协议,无法完成本Lab。
apache-tomcat-9.0.0.M1
11-25
apache-tomcat-9.0.0.M1.zip,支持Servlet4.0草案
tomcat7.0.54/tomcat7.0.92
03-25
apache-tomcat-7.0.54和apache-tomcat-7.0.92两个版本
HTTP request smuggling
lonmar的博客
02-01 723
浅谈Http请求走私
HTTP请求解析错误的进一步发生将记录在DEBUG级别。在请求目标中找到无效字符。有效字符在RFC 7230和RFC 3986中定义
最新发布
aitengteng1的博客
01-17 915
问题:HTTP请求解析错误的进一步发生将记录在DEBUG级别。在请求目标中找到无效字符。有效字符在RFC 7230和RFC 3986中定义。tomcat高版本对url中特殊符号限制的解决办法。主要是由于tomcat版本过高导致的。tomcat的server.xml。
httpget请求设置长度_Citrix ADCHTTP请求Smuggling详解
weixin_30920907的博客
01-15 252
项目背景项目中遇到罕见的故障现象,客户生产环境中的Citrix ADC,系统版本为升级到12.1.60.16后,部分HTTP协议的VS会出现业务访问失败的情况。如下图经过排查1、Citrix ADC的配置未发生改变,配置是基本的HTTP业务,并无其他高级功能;2、Citrix ADC收到服务器http request后主动发起reset给客户端和服务器;3、HTTP业务中部分业务正常...
HTTP请求走私的学习(根据burp靶场)
weixin_50464560的博客
10-01 1184
转载至https://threezh1.com/2020/05/20/HTTP%E8%AF%B7%E6%B1%82%E8%B5%B0%E7%A7%81%E7%9A%84%E5%AD%A6%E4%B9%A0/ 这次在DEFCON上遇到一道关于HTTP走私(HTTP request smuggling)的题,自己又一直没有整理这方面的内容,就花了一两天的时间把Brupsuite社区上的实验都做了。这里简单记录一下。 HTTP request smuggling建议阅读:HTTP request smuggl
Tomcat最新漏洞说明
我是山寨南侠
02-11 7602
2014开年漏洞还真是多,这一次轮到了tomcat ; 而且是全系列的漏洞,具体如下: 这个漏洞代号为 CVE-2014-0227 , 官方称之为畸形混搭漏洞,即攻击者可以伪造一个畸形的数据请求块,从而插入到用户请求数据中,作为一个新的用户请求体 返回给用户。 目前受影响的版本基本覆盖了所有的tomcat版本,如: - - Apache Tomcat 8.0.0-RC1 to 8.0.8
tomcat 7 任意文件上传漏洞(信息搜集与漏洞探测)
热门推荐
莫黎小天
09-29 1万+
信息搜集与漏洞探测 (1)查询攻击机kali的IP地址 (2)识别存活主机,发现攻击目标 1)使用nmap -sP扫描c段网络存活主机 发现存在192.168.232.131 2)使用nmap -sS扫描端口开放 发现开放80端口 (3)在浏览器中打开该ip 通过对页面浏览,得知该网站存在一个信息泄露 直接显示出了使用的web服务器tomcat (4)在kali中进行服务扫描验证 使用nmap -sV扫描服务版本 发现该目标使用了Apache Tomcat/Coyote JSP engine 1
tomcat常见漏洞
qq_46416934的博客
06-18 3410
目录前言一、任意文件上传1.1 影响版本1.2 初始配置1.3 漏洞详情二、CVE-2020-1938?文件包含漏洞2.1 影响版本2.2 漏洞详情三、未授权弱口令+war后门上传总结tomcatapache一样是一个免费的服务器,主要用于jsp框架的网站,可以看作是apache的一个扩展,但是运行的时候和apache属于不同的进程。本文主要介绍tomcat的未授权访问、任意文件上传、文件包含漏洞tomcat 7.0.x --------------cve-2017-12615需要在windows下将配
Tomcat 爆出高危漏洞
sinat_32849897的博客
03-09 1353
全宇宙只有不到 4%的人关注了精品课你真是个特别的人1漏洞背景2020年0220, 360CERT 监测发现国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-1...
HTTP Request Smuggling
07-28
HTTP Request Smuggling 是一种攻击技术,利用了不同的 HTTP 设备(如负载均衡器、防火墙等)在处理 HTTP 请求时的解析差异,从而导致安全漏洞。 攻击者通过构造特殊的 HTTP 请求,利用不同设备在解析请求时的差异性,让部分设备认为请求结束,而另一部分设备认为请求并未结束。这种差异可能导致请求被拆分成多个部分,在后续处理中可能产生安全漏洞,例如绕过访问控制、绕过身份验证、执行未授权操作等。 攻击者通常会尝试向目标服务器发送构造精细的请求,以利用设备解析差异性。常见的 HTTP Request Smuggling 攻击包括: 1. 链接队列攻击:在 HTTP 请求头中使用换行符来分割请求,在设备解析时将请求分割成两部分。 2. Content-Length 碎片攻击:通过构造含有 Content-Length 的请求,在设备解析时将请求拆分成多个片段。 3. Transfer-Encoding 碎片攻击:通过构造含有 Transfer-Encoding 的请求,在设备解析时将请求拆分成多个片段。 4. HTTP Verb 碎片攻击:通过构造含有 HTTP Verb 的请求,在设备解析时将请求拆分成多个片段。 为了防止 HTTP Request Smuggling 攻击,以下是一些防护措施: 1. 更新设备和服务器软件以修复解析差异导致的漏洞。 2. 在负载均衡器、防火墙等设备上配置适当的规则和过滤器,防止恶意请求通过。 3. 使用安全编码实践,对输入数据进行适当的验证和过滤,确保输入数据不会导致解析差异性。 4. 监控和分析网络流量,检测异常请求模式和攻击行为。 总之,了解 HTTP Request Smuggling 攻击并采取适当的防护措施是保护应用程序和网络安全的重要步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值