tomcat默认目录漏洞修复

已于 2024-06-28 18:28:14 修改
阅读量119 收藏
点赞数 3
分类专栏: 漏洞修复 文章标签: tomcat java
于 2024-06-28 17:20:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangyanling316/article/details/140049036
版权

描述:Tomcat对外开放了默认目录,攻击者可随意浏览Tomcat文件。

修复建议:关闭互联网映射,或者直接删除默认页

这个方式是个坑。百度还一堆这玩意。1是删除了servlet只是把渲染去掉了,实际的默认web页面和信息还在。

2是某些应用调用了默认的mapping映射,导致应用起不来。

错误示范:

直接删除默认页:删除以下conf/web.xml配置文件中的相关内容。删除servlet和mapping中的default内容。搜索关键词<servlet-name>default 然后删除图片中的所有内容。

  <servlet>
    <servlet-name>default</servlet-name>
    <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
    <init-param>
      <param-name>debug</param-name>
      <param-value>0</param-value>
    </init-param>
    <init-param>
      <param-name>listings</param-name>
      <param-value>true</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
  </servlet>



  <servlet-mapping>
    <servlet-name>default</servlet-name>
    <url-pattern>/</url-pattern>
  </servlet-mapping>

有用的操作:

直接删除或者重命名默认的web目录就行,然后访问的时候就会变成404.

相对路径为:webapps/ROOT。如果改目录下没有其他文件内容可以直接操作,ROOT/目录下默认所有的文件内容如下,如果含以下文件没有的内容,和开发确认清除。

zhangyanling316
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apache-tomcat-10.0.20
04-15
4. **NIO2 Connector**: Tomcat 10.0默认使用NIO2连接器,这提供了更好的并发性能和更低的内存消耗,尤其是在高并发场景下。 5. **JAR扫描优化**: 新版本对JAR扫描进行了优化,减少了启动时间和内存占用,特别是在...
Apache Tomcat v8.5.41
09-30
这些更新可能包括对潜在安全漏洞修复,以保护服务器免受恶意攻击。此外,它还可能包含对Java标准版(Java SE)的兼容性改进,确保在最新的Java环境中运行无误。 在部署Apache Tomcat时,用户通常会下载包含所有...
如何不让tomcat显示目录文件列表
ocean1010的专栏
01-25 1013
修改conf/web.xml文件(把listings的参数改为false) default org.apache.catalina.servlets.DefaultServlet debug 0 listings true 1 修改为: default org.apache.catalina.servlets.DefaultServlet de
Tomcat 访问静态资源html、txt等出现中文乱码及获取Request域中数据乱码解决方案
Aphadite的博客
07-29 2766
Tomcat上部署项目后出现访问静态资源(例如:html文件,txt文件)乱码,主要分两种情况。 非Spring MVC项目 Spirng MVC项目 本文章所使用 Tomcat 版本分别为7.0.100和8.5.54 注意: 本文的 html 文件均带了<meta charset="utf-8">标签如果没带此标签,解析html和解析txt效果一样!! 非Spring MVC项目 在非spring mvc项目中出现访问静态资源乱码,如 txt 文本等,一般都是文件编码为非BOM的UT
tomcat系列漏洞利用
最新发布
2401_84488537的博客
06-03 1370
Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场合下被普遍使用。主要组件:服务器Server,服务Service,连接器Connector、容器Container。连接器Connector和容器Container是Tomcat的核心。一个Container容器和一个或多个Connector组合在一起,加上其他一些支持的组件共同组成一个Service服务,有了Service服务便可以对外提供能力了。
高效解决Tomcat控制台以及浏览器打开txt文件乱码问题
ZYingQ的博客
04-05 2064
1. 解决控制台乱码问题 默认运行Tomcat控制台会出现乱码 这是由于windows系统默认的编码集是GBK 而Tomcat在9.0后新加入了一行代码,将控制台编码集变成了GBK 所以就导致了编码集不一致。 解决方法有两个 1. 找到 Tomcat 9.0\conf\logging.properties 修改此行代码编码集为 GBK即可 2. 直接删除此行代码 修改过后 ...
Apache Tomcat默认文件漏洞
热门推荐
weixin_43837718的博客
08-07 2万+
Apache Tomcat默认文件漏洞 一、概要 漏洞描述:默认错误页面,默认索引页面,示例JSP和/或示例servlet安装在远程Apache Tomcat服务器上。应删除这些文件,因为它们可能有助于攻击者发现有关远程Tomcat安装或主机本身的信息。 漏洞风险:中 修复建议:删除默认索引页并删除示例JSP和servlet。按照Tomcat或OWASP说明更换或修改默认错误页面。 二、解决办...
tomcat服务器使用浏览器打开txt文件乱码问题
dxyzhbb的博客
07-28 1560
1.tomcat文件设置编码格式为utf-8 2.txt文件本身如果使用Notepad++编译编码格式。需要设置为UTF-8-BOM才好使。不乱码了
tomcat漏洞处理.zip
05-15
该PDF文件可能包含具体的案例分析,讲解了某个Tomcat漏洞的产生原因、影响范围、修复方法以及预防策略。通过学习这些实例,读者能更直观地理解和应对实际环境中遇到的问题。 总结来说,保障Tomcat服务器的安全需要...
tomcat-8.5.54.zip
05-07
- **安全性增强**:这个版本修复了多个安全漏洞,包括CVE-2019-10098、CVE-2019-10099等,保障了服务器的稳定和安全。 - **性能优化**:通过对内部代码的调整和优化,提高了处理请求的速度和效率,降低了内存消耗...
tomcat6.0.35_tomcat_
09-30
相较于更早的版本,6.0.35在性能、稳定性和安全性方面有所提升,同时修复了之前版本中发现的一些已知问题和漏洞。 ### 主要组件 1. **Catalina**:这是Tomcat的核心组件,负责Servlet容器的主要功能,管理Servlet...
tomcat中间件漏洞复现
kukudeshuo的博客
03-25 1839
Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定,而且免费,因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的Web 应用服务器。
tomcat包自带examples漏洞
m0_67392409的博客
04-10 3082
Tomcat是一款轻量级应用服务,且使用方便,解压后即可使用。在解压后的文件目录里有tomcat自带的webapp/docs和webapp/example文件夹,docs是tomcat的说明文档,example是tomcat自带的示例,可以通过http://xxxxx/docs和http://xxxxx/examples进行访问,本意是用来说明和演示tomcat的功能的。 但是最近发现有的版本的tomcat部署完成以后,这两个链接仍然可用,不太清楚是版本的原因还是部署的原因。docs是文档,所以基本不存在风
直接访问tomcat下静态资源:文本、图片等
GUITK的专栏
05-16 1万+
1,访问静态资源文件,没有权限和安全要求, 不需要复杂的添加Servlet 和 业务逻辑,只需创建ServletJspDemo,在WebContent下添加静态资源(.txt 和 .jpg),然后直接访问。 访问方式:  http://localhost:8080/ServletJspDemo/text.txt;                     http://localh
Tomcat 中文乱码解决】
qq_57607506的博客
04-18 1956
从Help选择edit Custom VM Options…进入这个文件并编写-Dfile.encoding=UTF-8。tomcat的VM options选项设置成-Dfile.encoding=utf-8。File–>Settings设置。
Tomcat 访问静态资源出现中文乱码解决办法
zhansan的博客
03-27 2172
黑马旅游网注册,登录,旅游路线展示出现乱码 解决方式,使用火狐浏览器 用谷歌浏览器和Edge都有乱码页面 Tomcat 访问静态资源出现中文乱码解决办法 tomcat 静态资源html乱码 Tomcat 访问静态资源html、txt等出现中文乱码及获取Request域中数据乱码解决方案 解决IntelliJ IDEA中tomcat控制台中文乱码问题 IDEA启动TOMCAT静态页面时乱码 IDEA发布web项目(图片步骤详解) 数据库的数据出现乱码时候,可以修改配置文件,比如 url=jdbc:mysql:
Tomcat文件漏洞问题及处理方式
Doubletree.lin的博客
02-25 4927
学海无涯,旅“途”漫漫,“途”中小记,如有错误,敬请指出,在此拜谢! 一、前情提要 用了万年的tomcat,出现了bug。2月21日,据国家信息安全漏洞共享平台公开的漏洞公告中发现Apache Tomcat文件包含漏洞CNVD-2020-10487(对应CVE-2020-1938),Apache Tomcat服务器中被发现存在文件包含漏洞,攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下...
tomcat如何禁止显示目录和文件列表
X-rapido的专栏
06-02 1万+
Tomcat禁止显示目录和文件列表  打开   tomcat的安装目录/conf/web.xml 文件         default         org.apache.catalina.servlets.DefaultServlet                     debug             0
常见中间件——Tomcat漏洞复现分析
qq_45751902的博客
10-31 2943
(net命令的路径要写全,直接写net user,Tomcat控制台会提示net不是内部命令,也不是可运行的程序,另 必须使用+号连接,使用空格,%2B都会执行失败,控制台报错。,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操作系统上的潜在危险的CVE-2017-12615漏洞。访问 http://127.0.0.1:8080/manager/html ,输入弱口令tomcat/tomcat进入后台(弱口令可以进行爆破)
tomcat默认页面修复
09-05
修复Tomcat默认页面可以采取以下措施: 1. 删除默认索引页和示例JSP和servlet文件。这些文件可能包含有关远程Tomcat安装或主机本身的信息,可能会帮助攻击者发现漏洞。按照Tomcat或OWASP的说明,删除这些文件可以减少安全风险。 2. 自定义错误页面。可以通过编辑Tomcat目录下的error.html文件来自定义错误页面。可以修改错误页面的标题、文字内容和样式等,以提供更友好和安全的错误信息给用户。 综上所述,修复Tomcat默认页面的方法包括删除默认索引页和示例JSP和servlet文件,并自定义错误页面。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Apache Tomcat默认文件漏洞](https://blog.csdn.net/m0_67401660/article/details/123728686)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [修改Tomcat默认界面](https://blog.csdn.net/weixin_63116337/article/details/121064149)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值