Tomcat样例安全漏洞
Posted liuxia912
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Tomcat样例安全漏洞相关的知识,希望对你有一定的参考价值。
【漏洞描述】
Tomcat在使用的时候一般都直接官网下载源代码包直接使用。
默认情况下,Tomcat源码包里面包含了 examples 这个目录,这个目录主要实现一些样例页面的访问。
比如:
默认域名:/examples/servlets/servlet/SessionExample
这个网址可以对session直接进行查询与修改,绕过认证。可能会被黑客利用绕过网站验证直接操作服务器。
【漏洞影响】
- 可能泄露敏感信息并被攻击者利用造成威胁
- 攻击者可能直接利用样例的漏洞进行攻击
- 核心数据可直接偷取
【影响版本】
所有Tomcat版本
【修复方法】
直接移除<tomcat基本目录>/webapps/examples 不需要重启
以上是关于Tomcat样例安全漏洞的主要内容,如果未能解决你的问题,请参考以下文章
渗透测试成长篇-Apache Tomcat样例目录session操纵漏洞