Tomcat example 应用信息泄漏漏洞及修复
Posted 星球守护者
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Tomcat example 应用信息泄漏漏洞及修复相关的知识,希望对你有一定的参考价值。
Tomcat 介绍
- Tomcat 是一款开源的
Web 应用服务器软件。 - Tomcat 属于轻量级应用服务器,在中小型系统和并发访问用户不多的场合下被普遍使用,是
开发和调试 JSP 程序的首选。
漏洞描述
- Tomcat 在使用时一般直接下载源代码包,解压后直接使用。
- 默认情况下,Tomcat 源码包 Web 根目录下包含
servlets-examples和tomcat-docs目录,这些目录下的某些样例存在安全风险。 - 例如,session 样例(
/examples/servlets/servlet/SessionExample)允许用户对 session 进行操纵,可被利用来绕过网站验证机制直接登录后台。
受影响范围
所有版本的 Tomcat
漏洞复现
https://xxx.com/examples
https://xxx.com/examples/servlets/
https://xxx.com/examples/jsp/
https://xxx.com/examples/websocket/index.xhtml
修复方案
由于一般情况下,无需使用样例功能,建议您在部署完 Tomcat 后直接删除 servlets-examples 和 tomcat-docs 目录。
注意:在修改前请做好备份,或建立硬盘快照。
免责声明
本文档供学习,请使用者注意使用环境并遵守国家相关法律法规!
由于使用不当造成的后果上传者概不负责
以上是关于Tomcat example 应用信息泄漏漏洞及修复的主要内容,如果未能解决你的问题,请参考以下文章