Tomcat应用没有严格的域名限制漏洞修复

已于 2022-08-18 19:43:33 修改
阅读量2.2k 收藏 1
点赞数
分类专栏: Java 文章标签: tomcat java 开发语言
于 2022-08-17 14:18:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whandgdh/article/details/126384802
版权


Tomcat应用进行漏洞扫描时存在漏洞:Http请求的Hostname字段没有严格的域名限制,导致可以绕过一些防护措施。如下图所示。
在这里插入图片描述

可以直接访问链接 IP:8080,页面展示tomcat官方地址。
在这里插入图片描述
解决办法思路就是不能访问 IP:8080,或者返回空白页面。

1、创建空白 index_new.jsp

进入tomcat根目录/webapps/ROOT目录下,创建空白文件 index_new.jsp。

touch index_new.jsp

2、修改tomcat配置

进入tomcat安装目录/conf目录。

vim web.xml

找到 节点welcome-file-list。修改 index.jsp为刚创建的 index_new.jsp。这里的index.jsp就是tomcat官网那个页面。修改为刚刚创建的空白页面。在这里插入图片描述

3、重启tomcat

进入到bin目录

./shutdown.sh 
./startup.sh

4、验证

再次访问8080页面。
看到访问IP:8080,返回了空白页面,再次进行复扫,验证通过。
在这里插入图片描述

菜菜的中年程序猿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Tomcat实现多域名访问详解
09-30
主要介绍了Tomcat域名访问详解,具有一定参考价值,需要的朋友可以了解下。
详解Tomcat域名的配置
01-09
有时候我们有好几个项目需要发布在同一个tomcat服务器上,每个项目有不同的域名。这就需要在tomcat里配置多域名,添加多个虚拟主机。 主要在server.xml里面设置: 在<Engine></Engine>里面添加两个<Host></Host>标签,内容如下: <Host name=www.123.com appBase=/usr/local/tomcat/webapps/123 unpackWARs=true autoDeploy=true> <Context path=/ docBase=/usr/local/tomcat/webapps/123 d
域名访问限制严格漏洞原理及修复
最新发布
zoonctrl的博客
03-15 1356
域名访问限制严格漏洞,原理,修复建议
详解Tomcat Web 应用绑定域名的几种方式
09-30
本篇文章主要介绍了详解Tomcat Web 应用绑定域名的几种方式,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
tomcat域名访问设置
车前猛跑
12-23 621
server.xml中设置 <Host name="www.xxx.com" appBase="" unpackWARs="true" autoDeploy="false"> <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
apache配置-只允许域名访问-不允许ip访问
03-13
apache配置,只允许域名访问,不允许ip访问
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
Alone hackers的博客
03-07 6621
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
nginx 集群系列 - nginx 配置实战
hunter_wyh
10-17 4189
虚拟主机配置 虚拟主机定义 nginx虚拟主机配置 分析nginx配置文件 虚拟主机名 基于域名的虚拟主机 基于IP的虚拟主机 基于端口的虚拟主机 访问限制 基于客户端IP地址的访问控制 HTTP基本认证机制的访问控制 状态监控 nginx 访问状态监控 tengine 状态监控 反向代理与负载均衡 seesion一致性 memcached redis
HTTP请求首部的Host字段
bian_qing_quan11的博客
08-25 2682
HTTP请求首部的Host字段
域名访问限制严格漏洞 修复
2022年7月6日从博客园https://www.cnblogs.com/hugboy/ 学习记录博客。
09-22 5368
背景 2022年9月22日13:35:05 上午正在自习室"乱杀"考研数学题,一个网警大队的电话打来... 他告诉我,我的网站存在域名访问限制严格漏洞 文件内容 啥意思? 网上了解了下,就是没有限制用户直接用IP访问网站 图中的方式是不被允许的,我们要强制让用户用域名 www.hugboy.site 来访问,否则就不提供服务 修复方法 在配置文件nginx.conf的服务server里,加上...
Tomcat应用服务器配置
04-19
Tomcat应用服务器安装与配置,良心文档,适合初学者!!!
面试必问的http-1.3:http1.0-http1.1-http1.2区别
u010953880的专栏
04-29 2910
Http1.1 由于HTTP 1自身的局限性,它不能很好的为用户提供性能良好的WEB服务。 于1999年6月正式发布了HTTP1.1标准REC2616,它厘清了之前版本中很多有歧义的地方,而且还新增了很多重要的优化, 如持久连接、分块编码传输、状态码扩充、增强的缓存机制、传输编码及请求管道等。 1.持久连接 每个TCP连接在建立初期都需要进行三次握手,需要经历一次客户端与服务器间的完整往返,...
asp网站安全问题
xiangsuixinsheng的专栏
08-27 921
1,找到密码和账号是通过SQL注入找到的。虽然MD5加密的密码不能被逆向破解,但是存在SQL注入漏洞的话对方完全可以用代码直接将你的密码改为AAABBBCCCDDDEEEF,也就是密码为1。就可以直接登录了。所以最关键的问题在于如何防止SQL注入。 SQL注入方式已经太多资
(2.6w字)网络知识点灵魂拷问(下)——前端面试必问
wang_yu_shun的博客
08-24 4597
关注公众号“执鸢者”,获取大量教学视频并进入专业交流群。十一、HTTP协议(请求报文和响应报文)11.1 请求报文HTTP请求报文主要包括:请求行、请求头部以及请求的数据(实体)。1.请...
Nginx应用域名访问限制严格漏洞修复
whandgdh的博客
08-17 2817
公司在对Nginx应用进行漏洞扫描时,也存在域名访问限制严格漏洞修复。注意,经过验证如果直接配置返回 404 或者500,仍然能扫描到漏洞。在nginx配置文件 nginx.conf 中添加 根目录转发配置。解决问题思路和tomcat一样,当请求ip,时返回空白页面。浏览器直接访问 ip地址时,页面返回了nginx首页地址。访问ip 时,返回了空白页面。...
tomcat常见漏洞
热门推荐
scu_hacker博客
01-17 1万+
前言 tomcat和apache一样是一个免费的服务器,主要用于jsp框架的网站,可以看作是apache的一个扩展,但是运行的时候和apache属于不同的进程。本文主要介绍tomcat的未授权访问、任意文件上传、文件包含漏洞。 一、任意文件上传 1.1 影响版本 tomcat 7.0.x --------------cve-2017-12615 1.2 初始配置 需要在windows下将配置文件的readonly改为false 1.3 漏洞详情 tomcat允许适用put方法...
http 请求中的host字段(实现nginx虚拟服务器)
go big or go home
01-14 8363
目前很多一个ip对应多个域名的情况(nginx虚拟主机的实现原理),在http请求头中有host字段,该字段默认为请求的url 也可以自己设定当我们发送一个请求时,先通过DNS域名解析,得到ip,然后建立tcp连接,当服务器收到请求时(以nginx为例),就会解析http请求host字段来判断你是访问的那个server配置下的代码。nginx配置多个server。这样 就可以实现在一个服务器上通过h
IIS 状态代码
ericzh的专栏
07-14 630
概要当用户试图通过 HTTP 或文件传输协议 (FTP) 访问一台正在运行 Internet 信息服务 (IIS) 的服务器上的内容时,IIS 返回一个表示该请求的状态的数字代码。该状态代码记录在 IIS 日志中,同时也可能在 Web 浏览器或 FTP 客户端显示。状态代码可以指明具体请求是否已成功,还可以揭示请求失败的确切原因。更多信息日志文件的位置在默认状态下,IIS 把它
tomcat 反射型xss漏洞修复
05-12
Tomcat反射型XSS漏洞通常是由于应用程序没有对用户输入进行充分验证和过滤而导致的。建议采取以下措施修复这个漏洞: 1. 在Web应用程序中,对于所有接收到的用户输入进行充分验证和过滤,这是最基本的安全措施,可以有效防止大多数Web应用程序漏洞。 2. 避免将用户输入直接输出到HTML页面上,这可以通过使用转义函数或标签库来实现。例如,使用JSTL标签库中的<c:out>标签或Spring框架中的HtmlUtils.htmlEscape()函数。 3. 更新Tomcat服务器,确保它处于最新版本。Tomcat团队经常修复安全漏洞,并发布最新版本,包含了修复这些漏洞的补丁程序。 4. 启用Tomcat的安全管理器功能,该功能可以控制Web应用程序对系统资源的访问。在web.xml文件中添加以下代码即可启用该功能: ``` <security-constraint> <web-resource-collection> <web-resource-name>Restricted resources</web-resource-name> <url-pattern>/restricted/*</url-pattern> </web-resource-collection> <auth-constraint /> </security-constraint> ``` 5. 使用安全性更强的Web框架,例如Spring Security或Apache Shiro等,它们可以提供更完善的安全保障。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

菜菜的中年程序猿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值