中间件漏洞--tomcat

最新推荐文章于 2024-09-04 09:56:23 发布
最新推荐文章于 2024-09-04 09:56:23 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: 安全 文章标签: Tomcat 安全配置 漏洞修复 AJP漏洞 HTTP方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhwangsgtl/article/details/123006046
版权

1.后台地址泄露解决办法:

1). 删除TOMCAT_HOME/webapps/docs、examples、manager、ROOT、host-manager

        2). 编辑TOMCAT_HOME/web.xml,修改<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>下的初始化参数<param-name>listings</param-name> 的<param-value>默认值,改成(或增加)为:<param-value>false</param-value>

2.中间件及版本信息泄露解决办法

        进入apache-tomcat目录lib下,找到catalina.jar,使用压缩工具依次找到org\apache\catalina\util下的ServerInfo.properties编辑ServerInfo.properties如下:server.info=HTTP Serverserver.number=0.0.0.0server.built=Jan 01 2018 00:00:00然后将修改后的信息压缩回jar包

3.不安全http方法解决办法

        1). 在应用程序web.xml中添加如下的代码即可:<security-constraint><web-resource-collection><url-pattern>/*</url-pattern><http-method>PUT</http-method><http-method>DELETE</http-method><http-method>HEAD</http-method><http-method>OPTIONS</http-method><http-method>TRACE</http-method></web-resource-collection></security-constraint>

        2). 打开{tomcat_home}/conf/server.xml文件,配置Connector节点属性allowTrace为true,此操作可以禁止使用trace方法。

Tomcat AJP漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行

检测方法:

        主要采用版本检测方式,受影响的版本为:Apache Tomcat6Apache Tomcat7 < 7.0.100Apache Tomcat8 < 8.5.51Apache Tomcat9 < 9.0.31进入Tomcat安装目录的bin目录,输入命令version.bat后,可查看当前的软件版本号。若当前版本在受影响范围内,则可能存在安全风险。

解决方法

        1.官方升级

        2.临时防护措施

                1) 在不需要使用AJP协议的情况下,用户可直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost。

                2) 若需使用Tomcat AJP协议使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证;使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。

夜行者~
关注
专栏目录
服务器中间件版本信息泄露,中间件版本信息泄露漏洞
weixin_42427302的博客
08-05 5391
中间件版本信息泄露漏洞《Web安全测试学习手册》- 中间件版本信息泄露漏洞0x00 中间件版本信息泄露漏洞1)什么是中间件版本信息泄露漏洞通常在HTTP报文的响应头中存在的标志、版本号等信息均属于中间件版本信息泄露漏洞。2)中间件版本信息泄露漏洞的特点通常出现在默认安装好的Web中间件上,大部分管理员都不会修改这个标志。0x01 中间件版本信息泄露漏洞 - 风险等级低0x02 中间件版本信息泄露...
tomcat安全(修改配置方式)
桀骜浮沉的博客
07-26 336
1.删除webapps目录下所有文件,禁止tomcat管理页面。2.删除或注释tomcat-users.xml中所有用户的权限。3.更改关闭tomcat指令或禁用。4.定义错误页面,防止暴露报错信。
SpringBoot漏洞!Apache Tomcat有信息泄露风险(附解决方案)
Carlos_ForYou的博客
08-15 1472
解决Apache Tomcat信息泄露漏洞
Tomcat中间件版本信息泄露
m0_54849806的博客
08-31 3457
解压后,通过vi编辑器修改解压出来的ServerInfo.properties文件(在/org/apache/catalina/util/下)进入Tomcat的webapps/ROOT目录,新增error_404.html页面,使用自定义页面已达到隐藏中间件版本信息的目的。Tomcat服务在响应404/500等网络错误时,默认会将当前版本信息显示出来,这样就造成了中间件版本信息泄露这样的漏洞。进入Tomcat下的lib目录,备份catalina.jar文件后,解压该文件。...
tomcat中间件版本泄露
weixin_46013012的博客
06-19 179
showServerInfo=“false” 不显示中间件版本信息。showReport=“false” 不显示报错详细信息。
apache-tomcat-8.0.24.tar.zip
11-30
总之,"apache-tomcat-8.0.24.tar.zip"是一个包含Tomcat服务器中间件的压缩包,适用于开发和部署基于Java的Web应用。理解和掌握Tomcat的配置和管理对于Java开发者和系统管理员来说是必备技能之一。
Tomcat-7.0.78-x64 免安装版
01-05
Tomcat-7.0.78-x64 免安装版:轻量级Web服务器与应用服务器的入门指南》 Tomcat作为Apache软件基金会的一个开源项目,是Java Servlet和JavaServer Pages(JSP)技术的开源实现,是Java Web应用程序部署的首选平台...
102-不安全的中间件-Tomcat.pdf
09-20
因此,建议在部署Tomcat后删除其中的示例文件,如ROOT、balancer、jsp-examples、servlet-examples、tomcat-docs和webdav目录,以避免信息泄露和其他潜在安全风险。特别是其中的session示例(/examples/servlets/...
服务攻防-中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现
ran的博客
05-13 2786
ISS中间件(Internet Security and Acceleration Server Middleware)是微软公司推出的一种安全中间件,旨在提供高效的安全代理服务和网络加速功能。它是Microsoft Proxy Server和Microsoft Firewall产品的继承者,也是Microsoft Forefront TMG(Threat Management Gateway)的前身。
tomcat中间件版本信息泄露(中危)解决
ralfsumahe的博客
06-10 7371
修复步骤: 1 删除 /docs/, /examples/。 2 隐藏 404 页面的 Tomcat 版本信息,使用重打包 Tomcat jar 的方式。 隐藏 Tomcat 版本信息 重打包 catalina.jar unzip catalina.jar vim org/apache/catalina/util/ServerInfo.properties # # server.info=Apac...
报错页面存在tomcat版本信息泄露
cxws110的博客
08-21 982
报错页面存在tomcat版本信息泄露
Tomcat中间件版本信息泄露解决方案
bobozai86的博客
11-16 4459
修改之前默认报错页面信息会暴露出版本号。 进入tomcat的lib目录找到catalina.jar文件 unzip catalina.jar之后会多出两个文件夹 进入org/apache/catalina/util编辑配置文件ServerInfo.properties修改为: server.info=ApacheTomcat server.number=0.0.0.0 server.b...
漏洞修复】渗透测试,tomcat泄露程序错误处理信息或软件版本等信息(低危)
u012754182的博客
02-24 3401
问题 在渗透测试中,tomcat报错页面,会显示版本号。本质上泄露中间件软件的信息,给攻击者提供了信息。属于低危漏洞 解决方案: 1. 升级tomcat中间件到9及以上,本人亲测没问题,可能是tomcat官方在新版本修复了这个漏洞 2. 删除tomcat版本的信息。 3. 应用里做全局拦截,然后自定义错误页面(侵入应用代码,且须逐个应用修复,不推荐) 关于方案2 的实操: 修改tomcat/lib/catalina.jar包中的ServerInfo.properties配置文件。 具
存在nginx版本信息泄露(请求头中存在nginx中间件版本信息)
最新发布
明静致远
09-04 466
指令来禁止Nginx在错误页面和Server头信息中显示版本号。在Nginx配置文件(比如nginx.conf)中,使用。配置完成后,Nginx将不再在HTTP响应的。头信息中包含版本号。
Web安全:中间件漏洞
elevn的博客
08-15 516
以前出现过的中间件漏洞一般是文件解析漏洞,例如IIS文件解析漏洞、Apache文件解析漏洞及Nginx文件解析漏洞等。中间件直接依附于操作系统的存在而存在,它们是仅次于操作系统的系统软件,它们出现了漏洞,即为中间件漏洞。例如IIS的Unicode编码漏洞及Apache文件解析漏洞等都是中间件漏洞,这类漏洞的修复须配合中间件开发人员进行修复。内核漏洞中间件漏洞的上层就是Web应用漏洞,这三个层面中的任何一个层面的安全没有得到保证,那么整体的安全也就无法保证,攻击者进入系统将可能如入无人之境。
中间件版本信息泄露:Microsoft-HTTPAPI/2.0
ilqgffvramusm2864的博客
12-01 3344
中间件版本泄露、隐藏版本号、Microsoft-HTTPAPI 版本泄露 、IIS版本泄露
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值