Apache Tomcat默认文件漏洞

最新推荐文章于 2024-05-24 10:12:07 发布
最新推荐文章于 2024-05-24 10:12:07 发布
阅读量2.4w 收藏 26
点赞数 6
分类专栏: linux 文章标签: tomcat 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43837718/article/details/98726253
版权

Apache Tomcat默认文件漏洞

一、概要

漏洞描述:默认错误页面,默认索引页面,示例JSP和/或示例servlet安装在远程Apache Tomcat服务器上。应删除这些文件,因为它们可能有助于攻击者发现有关远程Tomcat安装或主机本身的信息。
漏洞风险:中
修复建议:删除默认索引页并删除示例JSP和servlet。按照Tomcat或OWASP说明更换或修改默认错误页面。

二、解决办法

1、直接删除docs目录和examples目录;
在这里插入图片描述
2、修改默认错误页面;
<1>.vim conf/web.xml,在这个文件的末尾添加以下配置;

<error-page>
<error-code>400</error-code>
<location>/error.html</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/error.html</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/error.html</location>
</error-page>

在这里插入图片描述
<2>.自定义错误页面
vim /root/apache-tomcat-8.5.35/webapps/ROOT/error.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"><head>
<title>网页访问不了</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<link rel="stylesheet" type="text/css" href="404/error_all.css?t=201303212934">
</head>
<body class="error-404">
<div id="doc_main">

<section class="bd clearfix">
<div class="module-error">
<div class="error-main clearfix">
<div class="label"></div>
<div class="info">
<h3 class="title">Sorry,你所访问的页面有问题哦</h3>
<div class="reason">
<p>可能的原因:</p >
<p>1.手写有问题。</p >
<p>2.URL失效了?</p >
</div>
</div>
</div>
</div>
</section>
</div>

</body></html>

重启tomcat就好了;

小胖-kxj
关注
  • 6
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
apache Tomcat 漏洞
09-27
apache Tomcat 漏洞
设置tomcat默认打开的项目
wyffeige的博客
02-20 792
1.在你的tomcat安装目录下找到conf \server.xml打开找到host标签, 2.在里面添加下面一句话 其中docBase为项目绝对路径,path为相对路径(相对于默认的webapps的路径) <Context docBase="D:\apache-tomcat-8.5.50\webapps\项目名" path="" reloadable="true" "/> 此时使p...
中间件安全—Tomcat常见漏洞
最新发布
zz12345600354的博客
05-24 775
链接。
关于`Apache Tomcat存在文件包含漏洞`的整改
2401_84010784的博客
03-31 674
阿里伤透我心,疯狂复习刷题,终于喜提offer 哈哈~好啦,不闲扯了1、JAVA面试核心知识整理(PDF):包含JVMJAVA集合JAVA多线程并发,JAVA基础,Spring原理微服务,Netty与RPC,网络,日志,ZookeeperKafkaRabbitMQ,Hbase,MongoDB设计模式负载均衡数据库一致性哈希JAVA算法数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算共30个章节。2、Redis学习笔记及学习思维脑图。
幽灵猫 Tomcat文件读取/任意文件包含漏洞(CVE-2020-1938 / CNVD-2020-10487)
m0_62466350的博客
05-11 3711
漏洞是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。
[渗透]Apache Tomcat示例目录漏洞
热门推荐
胖胖的ALEX
02-21 3万+
漏洞等级:中 Apache Tomcat默认安装包含"/examples"目录,该目录包含许多示例servlet和JSP。其中一些示例存在安全风险,不应部署在生产服务器上。 http://localhost:8080/examples/servlets/servlet/SessionExample 示例允许会话操作。因为会话是全局的,所以这个示例会带来很大的安全风险,因为攻击者可用通过操纵其会话来...
Apache Tomcat v8.5.27
12-08
"apache-tomcat-8.5.27" 文件名可能指的是实际的Tomcat软件包,这通常是一个zip或tar格式的压缩文件,其中包含所有必要的文件和目录,如bin(包含启动和停止服务器的脚本)、conf(配置文件)、lib(支持库)、...
Apache-Tomcat文件包含到RCE漏洞原理深入分析1
08-03
2020年2月20日,CNVD(中国国家信息安全漏洞库)公开了一个关于Apache Tomcat文件包含漏洞,该漏洞被标记为CVE-2020-1938。这个漏洞允许攻击者通过特定的输入,包含并执行Tomcat服务器上webapps目录下的任意文件,...
Apache Tomcat v7.0.82
12-09
最后,`apache-tomcat-7.0.82`目录则包含Tomcat服务器的完整安装包,其中包括了运行服务器所需的所有文件,如bin目录下的可执行文件、conf目录下的配置文件、lib目录下的库文件等。 对于开发者而言,了解Tomcat的...
Apache Tomcat v7.0.81
11-29
而最重要的文件是"apache-tomcat-7.0.81",这是一个解压后包含了Tomcat服务器所有组件的目录,包括启动脚本、配置文件、Web应用程序目录等。 为了开始使用Apache Tomcat v7.0.81,你需要解压下载的文件,配置环境...
腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞
09-25
9 月 19 日,腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意 JSP 文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码。      云鼎实验室通过对于漏洞描述,搭建漏洞环境,并对其进行复现。此漏洞为高危漏洞,即使是非默认配置,但是一旦存在漏洞,那么攻击者可以成功上传 webshell,并控制服务器。 复现 根据描述,在 Windows 服务器下,将 readonly 参数设置为 false 时,即可通过 PUT 方式创建一个 JSP 文件,并可以执行任意代码。    通过阅读 conf/web.xml 文件,可以发现:   默认 readonly 为 true,当 readonly 设置为 false 时,可以通过 PUT / DELETE 进行文件操控。   配置 readonly 为 false: 启动 Tomcat,利用 PUT 请求创建文件: 提示 404。通过描述中的 Windows 受影响,可以结合 Windows 的特性。其一是 NTFS 文件流,其二是文件名的相关限制(如 Windows 中文件名不能以空格结尾)来绕过限制:  访问发现可以正常输出:  分析 Tomcat 的 Servlet 是在 conf/web.xml 配置的,通过配置文件可知,当后缀名为 .jsp 和 .jspx 的时候,是通过JspServlet处理请求的:   可以得知,“1.jsp ”(末尾有一个和空格)并不能匹配到 JspServlet,而是会交由DefaultServlet去处理。当处理 PUT 请求时: 会调用resources.rebind: dirContext 为FileDirContext: 调用 rebind创建文件: 又由于 Windows 不允许“ ”作为文件名结尾,所以会创建一个 .jsp 文件,导致代码执行。 Bypass 分析 然而,经过黑盒测试,当 PUT 地址为/1.jsp/时,仍然会创建 JSP,会影响 Linux 和 Windows 服务器,并且 Bypass 了之前的补丁,分析如下。  在进入 bind 函数时,会声明一个 File 变量: 进入 File 后,会对 name 进行 normalize 最后得到的 path 就是没有最后 / 的 path 了: 影响  由于存在去掉最后的 / 的特性,那么这个漏洞自然影响 Linux 以及 Windows 版本。而且经过测试,这个漏洞影响全部的 Tomcat 版本,从 5.x 到 9.x 无不中枪。目前来说,最好的解决方式是将 conf/web.xml 中对于 DefaultServlet 的 readonly 设置为 true,才能防止漏洞
Apache Tomcat v8.5.47
11-04
Apache Tomcat v8.5.47 是一款广泛使用的开源软件,主要作为Java Servlet和JavaServer Pages(JSP)的容器。它是一个轻量级应用服务器,特别适合部署Java Web应用程序。Tomcat的设计理念是简单性和高效性,使得...
apache-tomcat-10.0.20
04-15
4. **NIO2 Connector**: Tomcat 10.0默认使用NIO2连接器,这提供了更好的并发性能和更低的内存消耗,尤其是在高并发场景下。 5. **JAR扫描优化**: 新版本对JAR扫描进行了优化,减少了启动时间和内存占用,特别是在...
Apache Tomcat v7.0.86
10-13
**Apache Tomcat v7.0.86** 是一个开源且免费的应用服务器,主要用于部署Java Servlet和JavaServer Pages(JSP)应用。Tomcat作为Java EE Web容器,它实现了Servlet和JSP规范,使得开发者可以利用Java技术构建动态...
Apache Tomcat v8.5.41
09-30
Apache Tomcat v8.5.41 是一款广泛使用的开源软件,它是一个实现了Java Servlet、JavaServer Pages(JSP)和Java EE的Web应用程序容器。作为最流行的HTTP服务器软件之一,Tomcat以其轻量级、高效能和稳定性而受到...
Tomcat默认访问目录和文件
A_JOKER___的博客
11-07 710
ROOT工程的访问,以及默认index.html页面的访问 当我们在浏览器地址栏中输入访问地址如下: http://ip:port —> 没有工程名的时候,默认访问的是webapps下的ROOT工程。 当我们在浏览器地址栏中输入的访问地址如下: htp://ip:port/工程名 —>没有资源名,默认访问该工程的index.html页面 ...
Tomcat的配置文件
weixin_37842058的博客
03-03 3302
defaultHost:Tomcat支持基于FQDN的虚拟主机,这些虚拟主机可以通过在Engine容器中定义多个不同的Host组件来实现;但如果此引擎的连接器收到一个发往非非明确定义虚拟主机的请求时则需要将此请求发往一个默认的虚拟主机进行处理,因此,在Engine中定义的多个虚拟主机的主机名称中至少要有一个跟defaultHost定义的主机名称同名;name:Engine组件的名称,用于日志和错误信息记录时区别不同的引擎;
Tomcat爆出严重漏洞,影响所有版本,附解决方案!
xmt1139057136的专栏
02-22 1万+
作者:业余草来源:https://www.xttblog.com/?p=4809昨天,群里聊嗨了。大家都在远程办公,却都急急忙忙的升级线上的 Tomcat 版本,原因就是 Tomcat ...
tomcat默认页面修复
09-05
修复Tomcat默认页面可以采取以下措施: 1. 删除默认索引页和示例JSP和servlet文件。这些文件可能包含有关远程Tomcat安装或主机本身的信息,可能会帮助攻击者发现漏洞。按照Tomcat或OWASP的说明,删除这些文件可以减少安全风险。 2. 自定义错误页面。可以通过编辑Tomcat目录下的error.html文件来自定义错误页面。可以修改错误页面的标题、文字内容和样式等,以提供更友好和安全的错误信息给用户。 综上所述,修复Tomcat默认页面的方法包括删除默认索引页和示例JSP和servlet文件,并自定义错误页面。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Apache Tomcat默认文件漏洞](https://blog.csdn.net/m0_67401660/article/details/123728686)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [修改Tomcat默认界面](https://blog.csdn.net/weixin_63116337/article/details/121064149)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值