【安全漏洞-tomcat】Tomcat example 应用信息泄漏漏洞

最新推荐文章于 2025-07-21 14:30:02 发布
转载 最新推荐文章于 2025-07-21 14:30:02 发布 · 2.1w 阅读 · 9
文章标签:

#tomcat #漏洞 #Tomcat example

本文介绍了Tomcat Web服务器中存在的一些安全风险,特别是默认安装中的示例应用程序可能带来的问题,并提供了解决这些问题的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Tomcat 是一款开源的 Web 应用服务器软件。Tomcat 属于轻量级应用服务器,在中小型系统和并发访问用户不多的场合下被普遍使用,是开发和调试 JSP 程序的首选。

漏洞描述

Tomcat 在使用时一般直接下载源代码包,解压后直接使用。默认情况下,Tomcat 源码包 Web 根目录下包含 servlets-examples 和 tomcat-docs 目录,这些目录下的某些样例存在安全风险。

例如,session 样例(/examples/servlets/servlet/SessionExample)允许用户对 session 进行操纵,可被黑客利用来绕过网站验证机制直接登录后台。

受影响范围

所有版本的 Tomcat

修复方案

由于一般情况下,无需使用样例功能,建议您在部署完 Tomcat 后直接删除 servlets-examples 和 tomcat-docs 目录。

注意:在修改前请做好备份,或建立硬盘快照。

Tomcat example 应用信息泄漏漏洞及修复
千寻的博客
10-24 5573
文章目录Tomcat 介绍漏洞描述受影响范围漏洞复现修复方案免责声明 Tomcat 介绍 Tomcat 是一款开源的Web 应用服务器软件。 Tomcat 属于轻量级应用服务器,在中小型系统和并发访问用户不多的场合下被普遍使用,是开发和调试 JSP 程序的首选。 漏洞描述 Tomcat 在使用时一般直接下载源代码包,解压后直接使用。 默认情况下,Tomcat 源码包 Web 根目录下包含servlets-examples 和 tomcat-docs目录,这些目录下的某些样例存在安全风险。 例如,ses
Tomcat 样例目录暴露(低危)
打代码的小女孩
06-06 1万+
Apache Tomcat样例目录session操纵漏洞 0x00 背景 前段时间扫到的漏洞,研究了下,感觉挺有意思的,发出来和大家分享下,有啥不对的地方还请各位拍砖指正。 Apache Tomcat默认安装包含”/examples”目录,里面存着众多的样例,其中session样例(/examples/servlets/servlet/SessionExample)允许用户对sess...
CVE-2025-24813 Tomcat 反序列化漏洞源码深度解析分析(下篇)
最新发布
我是一名专注于网络安全领域的技术研究者,长期从事渗透测试、漏洞挖掘、安全审计与攻防对抗相关工作。热衷于探索真实世界中的安全问题,致力于通过技术手段识别与解决系统潜在风险。
07-21 912
本文并非简单复现 CVE-2025-24813,区别于市面上多数仅停留在 POC 运行的文章。基于 Tomcat 源码,通过深入分析调用链与反序列化机制,全面还原漏洞的触发原理与底层实现。适合希望真正理解漏洞本质和内在机制的安全研究者阅读。
Apache Tomcat SessionExample 漏洞分析与防范
qq_33163046的博客
07-09 464
Apache Tomcat默认配置中的SessionExample样例存在安全隐患,攻击者可利用该会话管理示例非法操控全局session。通过构造特定POST请求,攻击者可能获取敏感信息或获取管理员权限。建议删除/examples和/docs目录下的默认资源,或在配置文件中设置访问限制。部署时应遵循最小化安装原则,定期检查配置并及时更新补丁。该漏洞警示开发者需重视服务器初始安全配置,清理不必要的默认资源以减少攻击面,保障Web应用安全运行。
[渗透]Apache Tomcat示例目录漏洞
热门推荐
胖胖的ALEX
02-21 4万+
漏洞等级:中 Apache Tomcat默认安装包含"/examples"目录,该目录包含许多示例servlet和JSP。其中一些示例存在安全风险,不应部署在生产服务器上。 http://localhost:8080/examples/servlets/servlet/SessionExample 示例允许会话操作。因为会话是全局的,所以这个示例会带来很大的安全风险,因为攻击者可用通过操纵其会话来...
tomcat包自带examples漏洞
灬渴望灬的博客
08-06 1万+
Tomcat是一款轻量级应用服务,且使用方便,解压后即可使用。在解压后的文件目录里有tomcat自带的webapp/docs和webapp/example文件夹,docs是tomcat的说明文档,exampletomcat自带的示例,可以通过http://xxxxx/docs和http://xxxxx/examples进行访问,本意是用来说明和演示tomcat的功能的。 但是最近发现有的版本的t...
挖洞经验 | 通过Tomcat Servlet示例页面发现的Cookie信息泄露漏洞
技术超强的网络安全平台
08-17 2086
首先,来认识一下Tomcat的示例文件,它是Tomcat安装后默认显示的一些页面,其中包含了很多servlets 和 JSP的测试示例,尤其是其中的会话示例接口/examples/servlets/servlet/SessionExample和/examples/servlets/servlet/CookieExample,由于会话变量的全局性,导致攻击者可以管理员身份通过该接口对会话进行操控,存在安全风险。在与朋友就该页面进行交流之后,他的经验也让我打消了疑虑,这个点的利用也仅如此,我们继续。...
tomcat example 项目存在的漏洞
建伟博客
06-24 2681
相信很多朋友都遇到安装Windows后,再在BIOS中去开启SATA硬盘的AHCI功能的话,就会出现无法启动的情况。我最近也在安装Windows7后去开启AHCI时遇到这样的问题,只有改回IDE模式后,系统才恢复正常。经过试验后发现如果是在IDE模式下安装了Windows系统,要在BIOS中将硬盘更改为AHCI模式的话,需要重新安装系统才行。那么有没有不用重装系统,即可以开启硬盘AHCI模式的办法
Tomcat信息泄露漏洞
lch_pp的博客
09-11 1380
6.删除原来的tomcat8和tomcat,并将新apache-tomcat-8.5.87改为原始的tomcattomcat8,并删除删除新webapps下的examples(示例)# 7.把旧的server.xml;# 1.选择无漏洞的版本,https://tomcat.apache.org/download-80.cgi。# 4.复制旧的tomcattomcat-old下。# 3.备份旧的tomcat。# 5.解压新的tomcat
#渗透测试#漏洞挖掘#红蓝攻防#漏洞挖掘#信息泄露漏洞-Apache Tomcat页面泄露漏洞
soc的博客
12-25 1570
免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章读。
2011年1月20日 TOMCAT配置 及EXAMPLE文件夹简单浏览
03-20
NULL 博文链接:https://zok.iteye.com/blog/889199
Tomcat样例安全漏洞
weixin_30651273的博客
06-04 1030
漏洞描述】 Tomcat在使用的时候一般都直接官网下载源代码包直接使用。 默认情况下,Tomcat源码包里面包含了 examples 这个目录,这个目录主要实现一些样例页面的访问。 比如: 默认域名:/examples/servlets/servlet/SessionExample 这个网址可以对session直接进行查询与修改,绕过认证。可能会被黑客利用绕过网站验证...
安全预警 | 知名 Web 应用服务器 Tomcat 信息泄漏和远程代码执行漏洞
静静是我女朋友
09-20 3450
原文地址:https://mp.weixin.qq.com/s/RrD8e3mpl9oRgEaf1JKKdQ?client=tim&ptlang=2052&ADUIN=1835083655&ADSESSION=1505840723&ADTAG=CLIENT.QQ.5531_.0&ADPUBNO=26692 2017年9月19日,腾讯云安全中心监测到  Apache Tomcat
tomcat examples利用_“GhostCat” Tomcat 文件读取与文件包含漏洞分析(CVE20201938)
weixin_39649736的博客
12-08 2466
关于 GhostCatTomcat 最近曝出了一个新的高危漏洞,由长亭命名为“GhostCat”,该漏洞可以读取和包含 Tomcat 应用的任意文件。通常只要开启了 ajp 端口就可以利用,需要注意是否为修复后的版本。Tomcat server.xml 中默认配置的 ajp 端口是 8009。 而且很多的 Tomcat 是默认开启着的,并且对外开放。fofa、zoomeye...
Log4j向导(tomcat example)
KINGWANGZHEN的博客
01-10 190
http://www.blogjava.net/aldreamlau/articles/159977.html log4j.properties
tomcat漏洞利用
Deeeelete的博客
11-06 1062
目前并没有在windows上测试 1.搜寻kali中的cmd.war文件,路径最长的就是我们需要的 find / -name "cmd.war" 2.将文件复制到根目录下 cp /usr/share/clusterd/src/lib/resources/cmd.war /cmd.war 3.tomcat默认是8080,也可以提前用nmap扫描端口确认一下 namp -sV ip地址 ...
tomcat跨源资源共享不安全配置漏洞
01-16
### Tomcat CORS 不安全配置导致的安全漏洞 在现代Web开发中,跨域资源共享(CORS)机制允许服务器控制哪些外部域名可以访问其资源。然而,不当的CORS配置可能导致严重的安全隐患。对于Tomcat而言,如果未正确配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值