Tomcat一个有意思的漏洞

最新推荐文章于 2025-04-28 08:44:47 发布
最新推荐文章于 2025-04-28 08:44:47 发布
阅读量125 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/evanxyhu/p/tomcat-jsp-vulnerablity-from-blackduck.html
版权

使用BlackDuck 扫描开源软件漏洞,其中一个关于Tomcat的漏洞挺有意思:

 

Description

When running Apache Tomcat versions 9.0.0.M1 to 9.0.0, 8.5.0 to 8.5.22, 8.0.0.RC1 to 8.0.46 and 7.0.0 to 7.0.81 with HTTP PUTs enabled (e.g. via setting the readonly initialisation parameter of the Default servlet to false) it was possible to upload a JSP file to the server via a specially crafted request. This JSP could then be requested and any code it contained would be executed by the server.
 
就是说,如果tomcat可以允许PUT方法,有想法的人就可以手工craft一个请求,上传一个jsp,然后做一些勾当。
 
有哪位仁兄试过这个没有?

转载于:https://www.cnblogs.com/evanxyhu/p/tomcat-jsp-vulnerablity-from-blackduck.html

ajlbq44062
关注
Tomcat管理页面弱口令页面Getshell
谢公子的博客
05-22 6934
目录 弱口令Getshell 利用Burpsuite对tomcat账号密码进行爆破 弱口令Getshell Tomcat安装完成后会有如下页面,点击该页面的 Manager App 处会弹出输入用户名和密码的认证框。我们也可以直接访问:http://127.0.0.1:8080/manager/html 来访问该管理页面 此时,需要我们输入用户名和密码进行登录。我们可以尝试一...
常见中间件漏洞之一 ----【Tomcat
qq_65379983的博客
03-24 1153
中间件Tomcat常见漏洞
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 465
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
Tomcat漏洞集合
谢公子的博客
09-23 9695
目录 Tomcat的几大高危漏洞 Tomcat安全措施 Tomcat的几大高危漏洞 1、Tomcat后台弱口令上传war包(Tomcat管理弱口令页面Getshell) 2、Tomcat的PUT的上传漏洞(CVE-2017-12615) (Tomcat PUT方法任意文件上传(CVE-2017-12615)) 3、Tomcat反序列化漏洞(CVE-2016-8735) (Tomcat反...
Tomcat 爆出高危漏洞!可导致网站、数据泄露!附解决方案
求关注
02-25 5463
漏洞背景 安全公告编号:CNTA-2020-0004 2020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞 CNVD-2020-10487/CVE-2020-1938是文件包含漏洞,攻击者可利用该高危漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:we...
tomcat包自带examples漏洞
灬渴望灬的博客
08-06 1万+
Tomcat是一款轻量级应用服务,且使用方便,解压后即可使用。在解压后的文件目录里有tomcat自带的webapp/docs和webapp/example文件夹,docs是tomcat的说明文档,example是tomcat自带的示例,可以通过http://xxxxx/docs和http://xxxxx/examples进行访问,本意是用来说明和演示tomcat的功能的。 但是最近发现有的版本的t...
Tomcat 样例目录暴露(低危)
打代码的小女孩
06-06 1万+
Apache Tomcat样例目录session操纵漏洞 0x00 背景 前段时间扫到的漏洞,研究了下,感觉挺有意思的,发出来和大家分享下,有啥不对的地方还请各位拍砖指正。 Apache Tomcat默认安装包含”/examples”目录,里面存着众多的样例,其中session样例(/examples/servlets/servlet/SessionExample)允许用户对sess...
利用Vulnhub复现漏洞 - Elasticsearch写入webshell漏洞(WooYun-2015-110216)
JiangBuLiu的博客
07-03 1908
Elasticsearch写入webshell漏洞(WooYun-2015-110216)Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现创建一个恶意索引文档创建一个恶意的存储库存储库验证并创建检验 Vulnhub官方复现教程 https://vulhub.org/#/environments/elasticsearch/WooYun-2015-110216/ 漏洞原理 ElasticS...
利用赛门铁克漏洞渗透整个企业网络
Coisini的博客
06-15 1007
1.引言 赛门铁克端点保护Symantec Endpoint Protection (SEP) 12.1的存在数个高危漏洞!一旦攻击者拿下了管理端,得到了管理员的权限,那么他就可以重新部署安装升级包,把木马藏进安装包,推送至客户端执行,从而拿下整个企业网络。目前只有升级到12.1 RU6 MP1的版本不被影响。 简单介绍一下,SEP 是一个企业版的杀毒产品,分为管理端和客户端。管理端是提供web...
经典的Shiro反序列化漏洞分析
hackzkaq的博客
03-02 4858
更多黑客技能 公众号:小道黑客 作者:掌控安全-holic 0x01、前言 相信大家总是面试会问到java反序列化,或者会问到标志性的漏洞,比如shiro反序列化,或者weblogic反序列化漏洞。 那我就这篇文章为大家讲解一下,不懂的哥哥直接背一下,理解一下就好了。 至于为什么要选择shiro反序列化呢,不讲weblogic呢? 因为我上次有幸参与金鸡电影节的临时安全负责人,具体我就不细说了。当时是内部涉及到shiro反序列化漏洞。 准确的来说是Shiro<1.2.4-RememberMe反序
渗透测试/漏洞赏金/src/黑客自学指南
2301_79205724的博客
08-30 848
在此方法论中我们的目标范围仅是一个域名或一个子域名,因此你应当针对你测试范围内的每一个不确定其web服务的域名,子域名或ip进行测试
CVE-2017-12617
weixin_33995481的博客
10-08 148
CVE-2017-12617ApacheTomcatRemoteCodeExecutionviaJSPUpload Severity:Important Vendor:TheApacheSoftwareFoundation VersionsAffected: ApacheTomcat9.0.0.M1to9.0.0 ApacheTom...
Tomcat爆出严重漏洞,影响所有版本,附解决方案!
xmt1139057136的专栏
02-22 1万+
作者:业余草来源:https://www.xttblog.com/?p=4809昨天,群里聊嗨了。大家都在远程办公,却都急急忙忙的升级线上的 Tomcat 版本,原因就是 Tomcat ...
Tomcat漏洞
WEILIN19921214的专栏
07-05 5465
tomcat一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。 另外,由于其功能比较单纯需要我们进一步地进行设置。本机将从安全和功能两方面谈谈基于Tomcat的Web服务器的部署,希望对大家有所帮助。    环境描述   OS:Windows S
【安全漏洞-tomcatTomcat example 应用信息泄漏漏洞
热门推荐
无极之境
06-20 2万+
Tomcat 是一款开源的 Web 应用服务器软件。Tomcat 属于轻量级应用服务器,在中小型系统和并发访问用户不多的场合下被普遍使用,是开发和调试 JSP 程序的首选。 漏洞描述 Tomcat 在使用时一般直接下载源代码包,解压后直接使用。默认情况下,Tomcat 源码包 Web 根目录下包含 servlets-examples 和 tomcat-docs 目录,这些目录下的某些样例存在安...
tomcat也终于出现漏洞
懿的博客
07-20 1236
、 1.Tomcat漏洞介绍 使用 Apache Tomcat 软件了 Java Servlet,JavaServer 页,Java 表达式语言和 Java 的 WebSocket 技术的一个开源实现。Java Servlet,JavaServer Pages,Java Expression Language和Java WebSocket规范是在Java Community Process下开发的 。 阿粉相信大家现在用什么版本的多有,从7.0到目前最新的10.0的用什么版本的都有,但是现在,Tomcat
基于vue框架的电信用户业务管理系统的设计与实现8ly70(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。
h2345678的博客
04-25 796
可以控制字体、颜色、间距、布局等视觉表现。[6]师明,曾丹.基于Vue.js和Spring Boot的校招日记系统[J].工业控制计算机,2020,33(01):95-97.[7]胡雅丽.基于Vue.js的“微商城”前端开发设计与实现[J].电子技术与软件工程,2020(20):34-35.[3]张智强,孙福兆,余健等.mysql课程设计案例精编[J].清华大学出版社,2019(8):67-234。[8]李广宏.vue.js前端应用技术分析[J].中国新通信,2019,21(20):115.
Java模拟打字:深入解析 java.awt.Robot 的键盘控制艺术
最新发布
码觉客的博客
04-28 1022
通过,我们可以实现强大的键盘自动化功能。对于简单的字符(英文字母、数字、基础标点等),可以通过模拟单个按键的按下和释放(可能需要配合 Shift 等修饰键)来实现,这需要建立字符到键码的映射并注意按键时序和延迟。对于复杂字符、中文或长文本,由于Robot不理解输入法逻辑,最可靠和常用的方法是将文本复制到系统剪贴板,然后模拟按下系统的粘贴快捷键。无论使用哪种方法,理解Robot的工作原理(模拟物理按键),处理好窗口焦点,并加入适当的延迟,是确保模拟输入成功的关键。虽然Robot。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值