tomcat包自带examples漏洞

最新推荐文章于 2025-10-31 09:36:33 发布
原创 最新推荐文章于 2025-10-31 09:36:33 发布 · 5k 阅读 · 2 ·
CC 4.0 BY-SA版权
文章标签:

#java #后端

本文讨论了Tomcat服务器中docs和example目录可能带来的安全问题。docs目录包含说明文档,而example目录则有session示例,可能导致未授权的session修改。在部署时,建议删除或备份这两个目录,以防止潜在的安全风险,尤其是session被篡改导致的管理员权限泄露。

Tomcat是一款轻量级应用服务,且使用方便,解压后即可使用。在解压后的文件目录里有tomcat自带的webapp/docs和webapp/example文件夹,docs是tomcat的说明文档,example是tomcat自带的示例,可以通过http://xxxxx/docs和http://xxxxx/examples进行访问,本意是用来说明和演示tomcat的功能的。
但是最近发现有的版本的tomcat部署完成以后,这两个链接仍然可用,不太清楚是版本的原因还是部署的原因。docs是文档,所以基本不存在风险,但是examples里面有session,而tomcat的session是共享的,这使得在不需要任何权限的情况下,可以通过examples的session示例对tomcat中的session进行修改,这样的话可能会造成某人通过examples篡改session,从而获取管理员权限等问题。
所以在使用tomcat部署应用的时候,建议先备份或者直接删掉webapp/docs和webapp/example文件夹。

Tomcat example 应用信息泄漏漏洞及修复
千寻的博客
10-24 5773
文章目录Tomcat 介绍漏洞描述受影响范围漏洞复现修复方案免责声明 Tomcat 介绍 Tomcat 是一款开源的Web 应用服务器软件。 Tomcat 属于轻量级应用服务器,在中小型系统和并发访问用户不多的场合下被普遍使用,是开发和调试 JSP 程序的首选。 漏洞描述 Tomcat 在使用时一般直接下载源代码,解压后直接使用。 默认情况下,Tomcat 源码 Web 根目录下含servlets-examplestomcat-docs目录,这些目录下的某些样例存在安全风险。 例如,ses
渗透测试成长篇-Apache Tomcat样例目录session操纵漏洞
m0_51186260的博客
08-10 8835
1.前言: 大家好,渗透测试小白成长的一次分享。大佬绕过,在我前几天的一次渗透测试项目中,在用AWVS扫的时候,偶然的发现了这个漏洞,说真的,这个漏洞是我渗透测试第一次遇到,就简单的复现记录一下,对我来说,分享就是成长。 2.背景: 用AWVS扫到一个漏洞 翻译了一下,这叫做Apache Tomcat样例目录session操纵漏洞 Apache Tomcat默认安装含”/examples”目录,里面存着众多的样例,其中session样例(/examples/servlets/servlet/
Tomcat服务器配置与Examples示例应用实战指南
最新发布
weixin_35749440的博客
10-31 789
Apache Tomcat 是一个开源的Java Servlet容器和Web服务器,支持Servlet、JSP、EL等Java EE核心技术。选择合适版本(如Tomcat 9.x或10.x)需结合JDK版本兼容性:Tomcat 10+要求JDK 11+,且命名空间由升级为,迁移时需注意API变更。默认情况下,Tomcat 使用输出日志。可通过修改.formatter属性来自定义格式:不添加时间戳,适用于需要原始输出的场景;而默认输出含时间、级别、类名和消息。
Tomcat漏洞分析利用
weixin_43047908的博客
08-19 1967
目录前言环境搭建漏洞复现CVE-2017-12615CVE-2020-1938 前言 Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定,而且免费,因而深受Ja
[渗透]Apache Tomcat示例目录漏洞
热门推荐
胖胖的ALEX
02-21 4万+
漏洞等级:中 Apache Tomcat默认安装含"/examples"目录,该目录含许多示例servlet和JSP。其中一些示例存在安全风险,不应部署在生产服务器上。 http://localhost:8080/examples/servlets/servlet/SessionExample 示例允许会话操作。因为会话是全局的,所以这个示例会带来很大的安全风险,因为攻击者可用通过操纵其会话来...
Tomcat删除自带项目操作手册
永字诀的博客
10-23 4422
1.webapps目录中的项目 在 Tomcattomcat/webapps 目录中,含有 5 个 Tomcat 自带的 Web 项目,如下所示: docs:有关于 Tomcat 的介绍和操作文档等 examples:程序示例:如 websocket 等 host-manager:进行 Host 管理 manager:进行 Server Status 和 Applications 管...
Tomcat调优及相关汇总设置
12-11
- **管理平台**: Tomcat自带的管理平台(manager)是一个web应用,可通过`localhost:8080/manager/html`进行访问。此平台提供了对部署、管理和监控Tomcat实例的功能。 - **角色问题**: 在Tomcat 8版本中,如果遇到`...
Ubuntu 服务器部署 Tomcat 并配置 SSL/TLS 证书
Jackey_Song的博客
11-28 1810
在你的域名供应商的 DNS 界面,你也可以指定第三方 DNS 服务器来解析你的域名,这样,你的 DNS A 记录要配置在第三方 DNS 服务器上,而你的域名供应商 DNS 界面,要配置这个第三方 DNS 服务器提供的域名,具体情况下,这个第三方 DNS 服务器会告诉你怎么做。在你的域名供应商界面配置 DNS 解析,添加一条 A 记录(域名到 IPv4 地址),Name 栏填写你的域名,Value 栏填写你的服务器的公网 IP 地址。命令中注意修改你的域名,和实际的证书路径。
跟我学,你的服务器够安全吗?第四篇----tomcat安全篇
zhumengyisheng的博客
12-10 3467
跟我学,你的服务器安全吗?是不是有黑客入侵啊?服务又瘫痪了?本节讲述互联网基础服务之一tomcat的安全配置问题和相关的漏洞恢复,一定要尽可能配置好,不要等事后攻击发生了追悔,言之晚矣
Apache Tomcat servlet/JSP容器默认文件 漏洞怎么修复
12-27
### 解决Apache Tomcat Servlet/JSP容器默认文件漏洞的方法 为了防止攻击者利用Tomcat中的默认文件进行未授权访问或其他恶意活动,建议采取以下措施来增强安全性[^1]: #### 配置web应用的安全约束 通过编辑`WEB-...
tomcat example 项目存在的漏洞
建伟博客
06-24 2716
相信很多朋友都遇到安装Windows后,再在BIOS中去开启SATA硬盘的AHCI功能的话,就会出现无法启动的情况。我最近也在安装Windows7后去开启AHCI时遇到这样的问题,只有改回IDE模式后,系统才恢复正常。经过试验后发现如果是在IDE模式下安装了Windows系统,要在BIOS中将硬盘更改为AHCI模式的话,需要重新安装系统才行。那么有没有不用重装系统,即可以开启硬盘AHCI模式的办法
【安全漏洞-tomcatTomcat example 应用信息泄漏漏洞
无极之境
06-20 2万+
Tomcat 是一款开源的 Web 应用服务器软件。Tomcat 属于轻量级应用服务器,在中小型系统和并发访问用户不多的场合下被普遍使用,是开发和调试 JSP 程序的首选。 漏洞描述 Tomcat 在使用时一般直接下载源代码,解压后直接使用。默认情况下,Tomcat 源码 Web 根目录下含 servlets-examplestomcat-docs 目录,这些目录下的某些样例存在安...
Tomcat 样例目录暴露(低危)
打代码的小女孩
06-06 1万+
Apache Tomcat样例目录session操纵漏洞 0x00 背景 前段时间扫到的漏洞,研究了下,感觉挺有意思的,发出来和大家分享下,有啥不对的地方还请各位拍砖指正。 Apache Tomcat默认安装含”/examples”目录,里面存着众多的样例,其中session样例(/examples/servlets/servlet/SessionExample)允许用户对sess...
挖洞经验 | 通过Tomcat Servlet示例页面发现的Cookie信息泄露漏洞
技术超强的网络安全平台
08-17 2245
首先,来认识一下Tomcat的示例文件,它是Tomcat安装后默认显示的一些页面,其中含了很多servlets 和 JSP的测试示例,尤其是其中的会话示例接口/examples/servlets/servlet/SessionExample和/examples/servlets/servlet/CookieExample,由于会话变量的全局性,导致攻击者可以管理员身份通过该接口对会话进行操控,存在安全风险。在与朋友就该页面进行交流之后,他的经验也让我打消了疑虑,这个点的利用也仅如此,我们继续。...
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 4153
然后还要将all这个压缩里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
tomcat examples利用_“GhostCat” Tomcat 文件读取与文件漏洞分析(CVE20201938)
weixin_39649736的博客
12-08 2495
关于 GhostCatTomcat 最近曝出了一个新的高危漏洞,由长亭命名为“GhostCat”,该漏洞可以读取和Tomcat 应用的任意文件。通常只要开启了 ajp 端口就可以利用,需要注意是否为修复后的版本。Tomcat server.xml 中默认配置的 ajp 端口是 8009。 而且很多的 Tomcat 是默认开启着的,并且对外开放。fofa、zoomeye...
Apache Tomcat 6.0.18 下载与安装获取
例如,Tomcat 默认自带的示例应用(如 examples、docs、manager、host-manager)都位于该目录下。 6. **work 目录**:该目录用于存放 Tomcat 在运行过程中生成的临时文件,例如 JSP 编译后的 servlet 文件。这些...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值